EP1566873B1 - Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik - Google Patents
Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik Download PDFInfo
- Publication number
- EP1566873B1 EP1566873B1 EP05101273A EP05101273A EP1566873B1 EP 1566873 B1 EP1566873 B1 EP 1566873B1 EP 05101273 A EP05101273 A EP 05101273A EP 05101273 A EP05101273 A EP 05101273A EP 1566873 B1 EP1566873 B1 EP 1566873B1
- Authority
- EP
- European Patent Office
- Prior art keywords
- safety
- circuit
- ring
- input
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Not-in-force
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
Definitions
- the invention is concerned with safety aspects of power electronics devices which are widely used as "power electronic control devices", such as frequency converters or inverters or other converters designed to operate an electromotive drive. Applicable, the invention is also in the field of hydraulics or pneumatics, intended for control, or anywhere where multiple devices are to be monitored together security.
- electrical, hydraulic or pneumatic controls and drives are not only independently operated, but also mechanically coupled.
- the mechanical coupling for example, as a transmission, or other composite in the sense of an electric wave, requires that all independently controlled and operated Drives can have a higher-level safety concept that controls their virtually identical safety response, causes and monitors. It must be avoided that the safety shutdown of such drives work differently, especially when each drive is switched off independently and independently, but a mechanical coupling between the drives is that is not even able to the safety shutdown of the one drive to transfer the other drive.
- a ring composite of different individual nodes is the expert with the EP 1 028 360 A1 (KUKA Robot ), there in particular paragraphs 14 and 15.
- a ring bus is constructed, which has a serial interface at the input and output and transmits 8 bits.
- a two-channel configuration of inputs is shown there, but these inputs are not along the ring structure, but such inputs, which are supplied to the two redundant microprocessors in the node. If two microprocessors are provided, each microprocessor receives an input. These inputs are called "safety-related" inputs.
- An earlier solution can be found in the DE 197 18 284 C1 or US 6,385,562 B1 of May 7, 2002 (KUKA Robot ). In particular, in US Pat. No.
- lines 44-57 shows the functional units with separate safety devices, wherein two safety directions are coupled so as to have a "ring network" of a leading and a return line, having interfaces as serial ports (there 7.8).
- the ring does not affect ring coupling of the local safety circuits 6.1 to 6.5.
- a distributed safety logic is provided, in which all necessary safety functions are possible and a high-resolution diagnosis seems possible.
- the ring structure consists of BUS structures (there BUS 1 and BUS 2), which work with BUS couplers.
- the two ring BUSES are redundantly parallel in the opposite sense of data flows through unidirectional, and each channel of a computer is each assigned to a ring BUS.
- an annular BUS system is known to form fault-tolerant structures. The best possible structure is apparent from the local FIG. 2 recognizable, cf. also page 3, lines 4 to 15.
- the ring structure seems to be transversely running single-channel, however, the supply of information is redundant specified by the process, there reference numerals 4,5. From the US 5,412,528 B If a matrix is known, cf. there column 4, Lines 25 to 30. It consists of emergency switches, which form the switching matrix to reduce the wiring. A ring structure is not apparent from this document.
- the invention therefore has as a problem, a safety shutdown in ring structure in such a way that it works more reliable and yet able to respond faster.
- wiring and programming effort should be reduced, special circuits are largely avoided and the reliability and flexibility, by allowing any number of security levels increased.
- the invention solves this extensive task by the realization of a ring concept or a ring structure, in which individual safety circuits are turned on as security levels. These "stages" are not hierarchical levels, but treat all cascaded participants in the security ring the same.
- a ring constructed of several (at least two) security levels as a safety circuit interconnection provides for a reliable shutdown at different (not equal) logic levels or combinations of logic levels on a multi-channel output.
- a network that has participants who are connected in the ring network, using at least two-channel signal routing in the ring.
- a safety circuit for switching into such a ring, with a multi-channel input and a multi-channel output makes it possible to construct the ring from at least two security levels.
- the safe monitoring of several power electronic control units operates with the same safety circuits, during operation pulses are applied to the outputs of each stage, which are not passed through the output of the next stage, but are hidden in an input circuit of the next stage, reducing the number of channels.
- a method for safe shutdown makes use of several of the safety circuits but is characterized in its operation by specifying the signal effects as a method.
- the transfer (passing through) of a switch-off signal is carried out quickly, by "propagation" in the ring network, starting from a trigger, which couples the switch-off signal as the triggering participant in the ring network.
- output in a method claim this will concern a signal, in the case of a device claim the structure which is suitable for delivering the signal. The same applies to the input with its corresponding input signal.
- control units of the power electronics described are independently regulated, but influenced by a higher-level control or regulation.
- Each of these devices has its own security components, security identifiers and peripheral security areas that deliver safety-relevant signals.
- a respective such power electronics circuit for controlling electrical drives is associated with a safety circuit, which in turn is connected in the ring network.
- these signals are decoupled from the ring and detected in a safety area of a respective drive, or upon detection of a safety case ( Hardware fault or function of a safety sensor) in the control area of the drive is coupled into the ring via logic circuits.
- a safety case Hardware fault or function of a safety sensor
- the ring structure is a direct passing of an input signal, only via logic gates to an output signal of a safety circuit (assigned to a control unit of the power electronics), without having to influence the passing of the signal in the ring, the control unit functionally necessary to achieve the transfer of the signal.
- the logical ring is independent of the actual response of safety functions or the detection of a shutdown state of the signal levels of the ring, as it is detected in a security area of each control device.
- Safety signals are detected in each control unit based on observation of the signals of the ring, on the other hand also coupled into the ring when a security situation is detected by the control unit.
- a safety circuit AbschaltMap to its output is possible to errors occurred within a To bridge the logic structure in the ring and to be able to connect the error signal of the input to the output of a respective safety circuit again independently.
- the term "also pre-coupled” means that the direct coupling via the logic gates in any case (or: permanently) is given if there is no conduction or malfunction of the gates and only in addition, a parallel pass-or over-coupling an error signal from the input to the Output over the security area is possible.
- the security area uses the same ways as it would couple a detected in his area and for his power electronics or his drive or the associated environment error state as a multi-channel shutdown signal in the output of the associated safety circuit.
- test signals can be connected to a respective output, which produce an asymmetry of the level for the duration of the pulse, ie in the multi-channel output signal, without immediately recognizing the following safety area a shutdown.
- the pulses have a short duration of less than 1 msec and occur comparatively infrequently, for example at a time interval of 10 times to 100 times greater than the pulse width of the test pulse, in order to determine in the long term whether malfunctions or faults exist on the lines, for example mechanical defects, such as cross-couplings, duration zero or duration one or interruptions.
- the test signals are evaluated in terms of their effect on the potential of the line, which circuit arrangements are known as such but so that they will not be further explained here, for example, an XOR gate.
- test signals are treated in the ring so that they only ever influence a portion far, ie from the output circuit of a first security level to the input of a second security level, or only in an input gate, which suppresses or suppresses these test pulses, so that they are not relayed to the output stage of the next safety circuit in the ring. Rather, this output stage is independently supplied with test signals, which in turn only reach the input of the next following safety circuit and are hidden or suppressed here.
- the function of the ring can thus be maintained without a test signal passing through propagates the entire ring and runtimes accumulate in such a way as to create unwanted operating conditions that should be avoided by the test signals.
- test signals have in the ring so only a limited duration or effect distance, are given by each safety circuit arrangement for their output to the next input but independently.
- the concept of ring trip operates with different times or durations, the described off delay of the safety area, the short pulse times of the test signals, the very short running time of the logic gates in a respective safety circuit, which logic gates are inventory of the logical ring, and a turn-on time, which will be explained later serves to hide the input signal by controlled influence and thus enables the re-activation of the ring from an addressed off state.
- the ring has a (meta) stable queuing, which is usually defined with parallel high logic levels on all multichannel lines. Disturbing this situation, the described, each acting a limited distance test pulses may be, but they are kept so short that they do not overcome the response delay of the safety areas and also have only a limited path in the ring, so not on the next stage (the next safety circuit ) show effect.
- the common logic level is changed by coupling a multi-channel shutdown signal into the output of one of the safety circuits. If all gates are working properly, there are no hardware faults and no mechanical defects; At least two channels of the output of the shutdown requesting controller are switched to logic zero.
- the logic zero level propagates directly through the entire ring, only delayed by the propagation delays of the logic gates in the ring, which may be in the nanosecond range.
- the entire ring is then set to logical zero (response or safety position). It then takes the response times of the individual safety areas until all have addressed and the associated drives occupy appropriate safety conditions.
- the safety conditions should only be indicated here.
- There are different categories of shutdown the direct shutdown of category zero (torqueless switch), the controlled shutdown in the sense of a quick stop, as category 1 (the speed value zero is given controlled), and there is the category 2, which receives the speed controlled zero moment. Depending on the nature of the specific fault, a specific type of shutdown is desired.
- the ring can only be activated as a whole, if intermediate distances of the ring between, for example, an output and an input of the following stage are not activated together with a logical zero in the same way with respect to the at least two channels, then a circuit fault or one of the described mechanical defects lies in the ring functional ring in front.
- the test signals which are to detect such errors early and immediately have to initiate a shutdown, to maintain the permanent function of the ring concept.
- the ring design works with any number of participants and can be cascaded as required.
- a safety circuit only addresses the sequential circuit, for passing on a possibly required shutdown signal, and receives from the upstream safety circuit a shutdown signal to be executed if necessary.
- Both signals are multi-channel, in the sense of at least two channels.
- the resulting electrical network in which the safety circuits are provided (electrically connected) is independently capable of action, responsive and extremely rapid in the propagation of a shutdown signal, for example, three ring participants with two logic gate run times per safety circuit in the range of a few 10 nsec. Greater than these runtimes are the pulse durations of the test pulses, again greater than these pulse durations are the response delays of the safety areas of each of the controllers, again greater than this is the average time between the return of the test pulses and again greater than this is the input stage of a respective safety circuit overriding or out of effect starting pulse.
- the safety time until switching off an exemplary inverter is application-specific and depends on the drive. It can be between 100 ms to 30 seconds. The inverter is thus not shut down immediately when the safety area of this control unit has detected on the basis of the logic states of the ring that an error has occurred and also initiated a shutdown after expiry of the minimum time interval, but possibly much later. However, the shutdown state is triggered, the execution will only vary in an application-specific manner in its real time.
- the tapping ("listening" or watching) of a shutdown signal from the logical ring structure can be variably changed via a circuit arrangement, depending on the system and security state of a respective control device or a respective drive.
- a specification can take place, between the categories 0, 1 or 2.
- the function and integrity of the logical ring structure is not affected. It remains with a direct passing in each safety circuit.
- test pulses which are coupled with a time delay in the ring structure at a respective output of a circuit arrangement.
- the coupled test pulses are time-delayed, so do not occur in parallel or overlapping on the multiple channels, in particular not on both channels at the same time. They monitor the output line to the next input and are prevented from propagating by an input circuit in the next safety circuit.
- an OR gate-like circuit is used as a combination circuit for combining the multichannel input signals with alternatively present test pulses, the pulse signal does not pass beyond this gate after at least one of the signals is always at the logic level High (or: one) in the error-free state , Consequently, the output of the logical OR gate is always one, regardless of the presence of the test signal.
- the reduction in the number of channels ie the reduction of, for example, two channels between the output of the pre-stage and the input of the following stage is expanded in the ring network by the output circuit back to the original channel number, that is multiply.
- a new test signal can be coupled again to check the next section of the ring circuit at a distance of the pulses.
- the corresponding voltage measurements, as Sequence of impulses are triggers of the detection of mechanical defects in the ring structure.
- Detected is a single-channel error signal, due to the presence of at least two channels, passed a multi-channel error signal, coupled into the ring structure.
- the state of the ring tilts within 10 nsec, with the consequence of the detection of a desired Abchaltens also through the other security areas of the other control devices, in the sense described above.
- Output stage and input stage of a respective safety circuit thus have independent tasks, are functionally separated to consider and are interconnected by a single-channel signal. Together they form a portion of the ring structure associated with a respective security circuit. Between these sections, there are line sections which lead to the respective next section of the safety circuit, also in turn consisting of the input circuit and the output circuit. Viewed in this way, a respective safety circuit has an input circuit and output circuit, which is connected on one channel. Functionally, however, an output circuit of one safety circuit always operates with an input circuit of the next Safety circuit together, which is assigned to different drives and is not delivered in the form connected to lines so logically but must be explained coherently in this form. This logical connection contains the indication of purpose as an aid to understanding, but not as a restriction of the respectively contiguous structure of the input circuit and the output circuit of an independent safety circuit to be considered.
- the ring has assumed a stable security position, ie in the regular system state, without wiring, circuit or function response, in the ring structure all multi-channel signal lines to logic level zero, this state can only be solved by external or external intervention and the ring back in its waiting state, the metastable one state in all multichannel signals.
- an override of the input stage (input circuit) of a respective safety circuit for example by supplementing a further input of the OR function, on which input a one-signal is turned on, if all other safety conditions for the reconnection of the coupled drives are met.
- This signal is active for a short time, for example between 20 msec and 100 msec, overrides the logical zero at the input to be relayed from the off position, in favor of a momentarily forced one (high) level on the one channel intermediate signal between the input circuit and the output circuit the safety circuit to allow it at the output, there also by pre-controlling one-signals on both channels to give a multi-channel one-information as an output signal to the next input signal.
- the signal called the override signal can be switched off at all input circuits.
- the ring remains in its (metastable) waiting state.
- FIG. 1 illustrates a ring structure of three circuits and three drives with associated inverter (frequency converter).
- the frequency converter as a representative of a circuit of the power electronics are not shown separately, they are well known.
- the drive C abbreviated AC has a safety area C33 from at least two micro-controllers ⁇ C1, ⁇ C2, which detects the input signals c10b (t) and c10a (t), derives therefrom a fault condition and initiates a stop in accordance with predetermined switching mechanisms and control specifications, such as Category Zero, Category One or Category Two. This can be additionally adjustable and selected.
- a periphery for safety sensors represented by the other two drives AA, AB and the associated sensor area A50 and B50, provide further signals for evaluation to the respective safety circuit A33 or B33, also called the safety area of the respective drive or inverter.
- the drive C has no such separate peripheral safety sensor, but only an intrinsic safety, which is represented by C33.
- Each area of a drive AA, AB and AC with associated inverter has a logic section, which is shown enlarged here and to which the distribution of the safety signals of a respective drive is assigned. The controls beyond the logic range of the inverter are not shown.
- the three predetermined drive ranges AA, AB and AC are comparable with their respective logic ranges A, B and C from the internal structure, in particular, the logic range A, B and C is made the same.
- the description is therefore largely in the area A of the drive AA, can be transferred directly to the logic areas B of the drive AB and C of the drive AC with respect to the components and functions.
- the reference numbers are the same, marked only with the associated letters.
- the input A10 of the drive section AA corresponds to the input C10 of the drive section AC, and this in turn corresponds to the input section B10 of the drive section AB.
- the signals are denoted by lower case letters and in the case of the multichannel execution shown here, shown here as two channels, two input signals are independent but parallel and two output signals are independent and parallel.
- a respective output of a safety circuit arrangement is connected via the said two channels to the input of the next (following) safety circuit. Its output is in turn fed back to the next but one input and its output to the first input of the output circuit. This results in a ring structure which is made in the three safety circuits shown in the manner described.
- the said ring structure consists of several sections.
- a respective logic section is assigned to a safety circuit and consists of an input circuit A30 and a subsequent output circuit A40, correspondingly also the input circuit C30 and the output circuit C40 of the safety circuit C at the drive CC.
- the lying outside the logic sections ring sections are cable guides, in the described, at least two-channel structure formed of independent signals that have the same logical level in normal operation, ie without mechanical or electrical defects, at least considered stationary.
- a normal logical switch-on level which symbolizes no switch-off event and no error case, is a logical one (high level) on all line sections. This then also applies to the exemplary signals a10a and a10b. They come from the output C20 of the safety circuit C, coupled to the safety circuit A. There, there are the signals c20a (t) and c20b (t).
- a security area in area C, the circuit C33, which may consist redundantly of several, here two micro-controllers ⁇ C1, ⁇ C2, which take over the logical safety shutdown and work with a switching delay.
- This switching delay T1 implies that a change of the two channels to the low state (logical zero) causes a shutdown of the safety area and detection of the fault only after this response delay.
- T1 is in the range of preferably above 1 msec, but can also be chosen lower, above 500 nsec.
- the safe stopping of a drive is made either by the activation of one of the sensors in the periphery (as active or passive sensor).
- a sensor may be for example a light grid, a safety mat or a light barrier. Their signals are fed to the safety area, for example C33 with drive C or A33 with drive A.
- the shutdown information of A50 obtained in this way initially relates to the area of the drive A. It is further task of the ring, which has a very short transit time T0 from logic components in the sense of propagating a switch-off signal.
- the safety area A33 feeds a multi-channel switch-off signal via the signal outputs O1 and O2 to two AND gates A40b and A40a. If the signals O1 and O2 go to zero, the output signal also becomes zero, which appears at the output A20 as two independent signals, but which switch to logic zero in parallel and essentially simultaneously. About the intermediate section of the wiring this shutdown signal is forwarded to the input B10 of the next security level B.
- the safety circuit A also receives the output signal of the output C20 of the safety circuit C in a corresponding manner via the two signals c20a (t) and c20b (t) to the input A10.
- c20a (t) and c20b (t) stand alone signals, but parallel switch to zero, when the low signal of the input B10 through the logic gates of Security level B and the input circuit C30 of security level C is propagated to appear at the output C20.
- the logic signals a10a (t) and a10b (t) arrive substantially at the same time to the OR gate C30, which represents the input circuit of the ring structure in the safety circuit A.
- the input circuit A30 receives the multi-channel signal of the input A10, is designed as a functional element to form from this multi-channel input signal reduced in the channel number intermediate signal a30 (t), which also switches to zero with input signals lying at zero to the And Again, multi-channel supply of the output circuit A40 with a zero signal, but this has no further effect after these gate circuits were triggers and the coupling element of the switch-off signal in the ring.
- the entire ring is now at a low potential, which relates to all routing between the ring sections within the safety circuits, and in addition also affects the entire signal lines of the logic components of the safety circuits themselves.
- the safety signal here the change from the waiting stable, actually metastable one-state to the stable zero state, which symbolizes an error case and a shutdown information, is achieved reliably and quickly.
- All safety areas A33, C33 and correspondingly also the switch-off area B33 can now carry out the predetermined disconnection due to their own logic. None of these security areas was involved in the forwarding of the propagating through the ring shutdown signal, but the ring is itself tilted to zero, very fast and only delayed by the sum T0 of the maturities of the logic gates involved in the ring.
- Each on the input side and output side interconnected safety circuit is therefore in the ring network (the ring structure) for monitoring all involved in the ring structure participants and their drives and control units.
- the regular operating case has been described as all circuits are working properly and the lines have no faults or mechanical defects such as cross-couplings, fixed zero or fixed one or a break.
- the safety case is here assumed the situation in which all signals tilt to logical zero. It can also be realized the reverse logic, but preferably the switch-off at the logic signal level is zero. This represents the security case and the secure location of the ring.
- a multi-channel input circuit and a multi-channel output circuit of the same safety circuit are coupled in the manner described by the signal a30 (t), correspondingly also the signal c30 (t), which is the output signal of the input circuit A30 or C30.
- test pulses 100 which do not occur simultaneously on all, here the two channels, can be masked out.
- This controlled test signals of a pulse circuit C35 of the safety circuit C, coupled here via the output circuit C40, the output C20, further to the input A10 and the input circuit A30 is not sufficient in its effect, as to this input circuit.
- a multi-channel test signal can not continue to propagate and only checks the function of the output circuit and the line section between the output and the next following input.
- pulse circuits A35, B35 are also associated with each other safety circuit, which also check only a limited portion of the ring, starting from the output of, for example, A20 to the next input circuit B30. The test pulses are blocked in the respective functional element forming the input circuit and can not happen.
- test pulses which in the FIG. 4 with a small pulse width T2a, T2b are coupled as pulses 100 to the signals, but in their pulse width narrower than the response delay T1 of each of the participating security areas C33, A33 and B33. This is a prerequisite for the fact that none of the safety areas responded by the test signals, but at the same time an independent review of the functionality of the ring structure can be ensured.
- the safety areas respond even when an unbalance of the levels at their input is applied for a longer time than the response delay T1. This is interpreted as a mechanical or electrical defect that will lead to a safe shutdown.
- the minimum number of ring participants is two, if e.g. only the safety circuits A and B are used, with output A20 coupled to input C10.
- the pulses 100 are superimposed on the signal lines to produce unbalanced logic levels, but which are so short that the safety areas C33 and A33 are still unresponsive. Accordingly, the logic levels are not applied simultaneously on all parallel channels in a respective section between the output and input of two adjacent safety circuits, but are time-shifted and thus non-overlapping.
- the temporal spacing T4 or the repetition rate of the test pulses can be substantially longer than their pulse width, thus between 10 times to over 100 times longer, which is represented by the time interval T4 in FIG. 4 is clarified.
- the non-overlapping test pulses 100 are also shown on both signals c20b (t) and c20a (t). This results in the single-channel intermediate signal a30 (t), after the input circuit A30, which has or does not pass these test pulses.
- a disconnection case that is not automatically and independently propagated regardless of the response of any of the safety circuits A33, C33 or B33 by the logic circuits of the ring is that of the asymmetry of an input A10 caused by electrical or mechanical failure incoming input signals. These can be routed past the logic gates past the safety area after the minimum interval T1 has elapsed (as a response delay) at the input circuit A30 and coupled into the output A40. This is an additional way to get more or more security, but not required for the actual function of the ring. Rather, the function of the ring is ensured regardless of whether one of the safety areas is responding or not responding (as a signal or safety shutdown C33, A33 and B33).
- Both the ring works independently and independently, as well as the shutdown of a respective drive is done independently. They are coupled by listening at the input (for the disconnector detection) and by coupling the switch-off signal at the output (for the transmission of the switch-off signal).
- the deactivation of a security area is also reversed by this same security area.
- the shutdown triggering safety area A33 assuming the sensor A50 response, a one-way signal on the third input of the OR gate A30 - after receipt of a receipt pulse to NA-Q and omission of the sensor response - placed.
- the release also acts on the shutdown signals O1, O2, so that the inner portion of the ring in the area of security level A is set to logical one by external influence.
- the output A20 is thus forced multi-channel logic one.
- the cascading and propagation of the zero signal are disabled.
- the signal q (t) reaching this decompression position is only pulse-shaped, thus falling away after a short period of time T3, for example greater than 10 msec or greater than 20 msec, at which point it is no longer required to ring in its one Condition.
- the pulse duration of this signal should be greater than the response delay of the safety areas.
- the overriding of the input circuit for example, the input circuit C30 at the third input of the security area concerned only if both participating microcontroller grant the enable signal, in the area C is the security area C33, and the AND gate C31 and the control of this AND gate of both microcontrollers involved in security area C33.
- FIG. 2 schematically illustrated, with timing diagrams and logic levels.
- the triggering of a switch-off information and the forwarding of this information commence, starting with the response of, for example, the sensor A50, digit (1) (circled numerals in FIG FIG. 2 ).
- the predetermined edge is coupled practically instantaneously across the entire ring structure A20, B10, B20, C10, C20, A10 after being coupled into the output signal A20 via the output stage A40.
- the sensor B50 does not remain activated, ie trouble-free.
- Each inverter has an S time T5 for safe shutdown. This time is (significantly) greater than the switch-off delay T1.
- the falling edge of the associated safe shutdown signal represents the end of the shutdown sequence.
- the drives are in a stop category.
- the input of the safety circuit A is hidden at (1 c) for a short time T3, for example 20 msec.
- both microcontrollers of the security area A33 apply a logical one to the AND gate A31 whose output e (t) is routed to the third input of the OR gate A30.
- the output circuit A40 is enabled from the two AND gates A40a, A40b.
- the internal signal O1 / O2 multi-channel is switched to the desired multi-channel logic one level and propagates to the next party. All involved participants in the ring behave in such a way, until at the entrance A10 of the safety circuit A a logical one signal is present, temporally at (1e). This was possible because on the other actuators AB and AC no sensor required a shutdown, so signals clearances and q (t) was supplied synchronously to all subscribers.
- the release of the respective drive, or then all drives, takes place after expiration of the delay time T5, here given, for example, 5 msec, following the falling edge of e (t), not before.
- the blanking time T3 is significantly greater than the running time, both a participant from the ring, as well as all terms seen in total, so the total runtime in the ring.
- n symbolizes the number of participants connected in the ring.
- all ring participants behave the same with regard to their contribution to the total duration.
- T0 the total runtime divided by the number of ring participants is close to the term T0 / n per ring taker.
- the delay time T5 is much greater than the start delay of the drives, as the running time in the ring, in terms of total running time T0.
- the numeral (2) shows the response of the safety area A33, the transmission and injection of this signal into the output A20, the signal propagating through the ring back to the input A10 (from the cascading), and the response time of the safe shutdown with the S Time T6. If it is to be switched on again from the now switched-off state and if it is assumed that the sensor A50 still requires a shutdown at (2a), this is done in the following FIG. 2 Sketched with the already known signals.
- a contributing fact is the only local evaluation of the safety signal from the respective sensor.
- the evaluation concerns the input, not the output, which always remains deactivated when the sensor is activated (blocking signal assumed) if the associated sensor has responded and is still in this state.
- Evaluating in the input area and relaying from the output area is made possible by the two safety signals of which one signal e (t) causes override in the input area when it is to be turned on and the other safety signals O1 and O2 are applied to the output area but continue to have a blocking effect and pass on none of the overdrive signal to the associated AND gates, as dictated by the manually impressed feedforward control.
- the third effect is added to these two effects, according to which the acknowledgment signal is independently supplied to all subscribers in order to independently generate for each subscriber internally the release or override signal e (t), which then outputs the respective input circuit, in the example Gate with three inputs, overdriven.
- the output range which is still supplied with the real state, which corresponds to the actually reported reality of the associated sensors by the respective signals O1 and O2, is not overdriven.
- each ring participant is thus autonomously precontrolled in the input area, viewing only the local sensor information, which either continues to block or release in the output region, and is thus placed in an intermediate state, which makes it possible to return the ring to the actively waiting one Waiting state to put off, if all sensors, in the example A50, B50 and those of the security range C33, no longer addressed. Then, the intermediate state changes to the metastable wait state to be reached, which is now and subsequently able to convey any future reported disturbance quickly, reliably and with high precision to all other ring participants.
- overdrive signal e (t) two of the three safety circuits in the ring in their respective output, here B20 and C20, are controlled to logic one, so that the ring is supposedly functional, up to the input signal A10, only the output signal A20 and the input B10 of the sequential circuit are due to the influence of not e (t) overridden output range A40 of the safety circuit A to zero.
- This logical zero can propagate through the inhibiting signal e (t) of the safety circuit B but not through the ring and receives a propagation release only when the effect of signal e (t) after the expiration of the time T3 is eliminated.
- the ring is pulled down to the stable zero position as fast as the running time in the ring allows and after this running time is much smaller than the switch-on delay of each of the involved drives AA, AB and AC, namely T5 as start delay, can be ensured be that none of the drives despite partially functioning appearing ring receives a switch-on signal (also: release).
- the response of the associated sensor A50 and the effects which the response of the sensor after propagation of the safety signal via the other two subscribers B and C again generates on the same triggering safety circuit A should be in another example to show how the signals affect when the safety area B responds, and what effect results on the input signal A10 of the safety circuit B upstream safety circuit, that is, the farthest circuit in the ring.
- the same consideration can also be made by substituting the corresponding reference symbols B and C for the safety circuit C, with effect on the input B10. It can also take place for the safety circuit A, with effect on the input C.
- Safety circuit which are closer to the triggering circuit, behave no worse than the remainder, which is the upstream in the ring.
- a response delay T1 which is above the duration of the test pulses, for example, above 1 msec for test pulses below this order of magnitude.
- this edge is also present at the output A20 with a time delay of a fraction of the delay, which is shown in (1b) in the third diagram from above. This "message" closes the circle, where the fraction of the number of participants in the circle is determined, as indicated above.
- the sensor B50 is no longer activated (at logic high level) so that the one-logic signal at 1 e in the third diagram remains at logic one from the bottom, both at input A10 as shown and at output A20.
- the drive A is released after the end of the blanking time T3, after expiration of the delay time T1 and after expiration of the blanking time T5.
- the times which are shown in an overview below, are based on a fast drive with triggering converter.
- Overview time type Magnitude of the time type annotation T0 (whole ring) ⁇ 60 nsec with three participants in the ring medium speed logic T1 (response) > 1 msec, is bigger T2a T2a (test peaks) between 500 ⁇ sec T2b and 1 msec T3 20 msec much bigger than T0 T4 > 10 msec, too > 100 msec T5 5 msec much larger than T0 T6 between 100 msec and 30 sec strongly application-specific
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
- Small-Scale Networks (AREA)
- Electronic Switches (AREA)
- Relay Circuits (AREA)
- Emergency Protection Circuit Devices (AREA)
- Electrotherapy Devices (AREA)
Description
- Die Erfindung befasst sich mit Sicherheitsaspekten von Leistungselektronik-Geräten, welche als "Steuergeräte der Leistungselektronik" vielfach in Gebrauch sind, so beispielsweise als Frequenzumrichter oder Wechselrichter oder andere Umrichter, die zum Betreiben eines elektromotorischen Antriebs vorgesehen sind. Anwendbar ist die Erfindung auch im Umfeld der Hydraulik oder Pneumatik, vorgesehen zur Ansteuerung, oder überall dort, wo mehrere Geräte zusammen sicherheitsüberwacht werden sollen.
- Oft sind elektrische, hydraulische oder pneumatische Steuerungen und Antriebe nicht nur eigenständig betrieben, sondern auch mechanisch gekoppelt. Die mechanische Kopplung, beispielsweise als Getriebe, oder ein anderer Verbund im Sinne einer elektrischen Welle, erfordert es, dass alle eigenständig angesteuerten und betriebenen Antreibe über ein übergeordnetes Sicherheitskonzept verfügen können, das ihre praktisch gleiche Sicherheitsreaktion steuert, veranlasst und überwacht. Es muß dabei vermieden werden, dass die Sicherheitsabschaltungen solcher Antriebe unterschiedlich arbeiten, gerade dann, wenn jeder Antrieb eigenständig und selbständig abgeschaltet wird, aber eine mechanische Kopplung zwischen den Antrieben besteht, die selbst nicht in der Lage ist, die Sicherheitsabschaltung von dem einen Antrieb auf den anderen Antrieb zu übertragen.
- Hierfür werden heutzutage zentrale Auswertungen von Rückmeldungen aller Antriebe vorgesehen, welche dann - veranlasst von einem Teilnehmer - eine Abschaltung (auch) der anderen Antriebe auslöst. Beispielsweise wird ein Antrieb mit einem Sicherheitsfall detektiert, ein Sicherheitssignal löst eine Abschaltreaktion aus und meldet es an die zentrale Auswertung, ggf. auch sicherheitsüberwacht oder mehrkanalig. Diese zentrale Auswertung sorgt für ein gleiches Abschalten auch der anderen im Verbund stehenden Antriebe. Trotz dieser zentralen Schaltungsanordnung kommt es zu Verzögerungen aufgrund einer System-Zykluszeit im Bereich oberhalb 50 msec, schlimmstenfalls mehrere 100 msec, welche die Steuerung aufweist, die in der zentralen Auswertung arbeitet. Bei hochdynamischen Antrieben machen sich diese scheinbar geringen Verzögerungszeiten indes bemerkbar.
- Selbst bei Antrieben, welche nicht hochdynamisch sind, also die angesprochenen Ansprechzeiten oder Verzögerungen tolerieren könnten, sind die Kosten einer gesonderten Steuerung einerseits und zum anderen die durch Verdrahtungs- und Programmieraufwand anstehenden Zusatzkosten störend.
- Aus der
US-A 2003/225831 (Nagano et al. ) ist ein programmierbares Steuergerät bekannt, welches nach beispielsweise der dortigenFigur 1 einen Ringverbund, dort 30, mit Kommunikationsschnittstellen betreibt, und dabei wird ein verdrilltes Kabelpaar zur Weiterleitung verwendet, vgl. dort Absatz [028]. - Auch ein Ringverbund aus verschieden einzelnen Knoten ist dem Fachmann mit der
EP 1 028 360 A1 (KUKA Roboter ) zugänglich, dort insbesondere Absätze 14 und 15. Ein Ringbus wird aufgebaut, der am Eingang und Ausgang je eine serielle Schnittstelle aufweist und 8 Bit überträgt. Eine zweikanalige Ausgestaltung von Eingängen ist dort gezeigt, diese Eingänge sind aber nicht entlang der Ringstruktur, sondern solche Eingänge, welche den beiden redundanten Mikroprozessoren im Knoten zugeführt werden. Werden zwei Mikroprozessoren vorgesehen, erhält jeder Mikroprozessor einen Eingang. Diese Eingänge werden "sicherheitsrelevante" Eingänge genannt. Eine frühere Lösung findet sich in derDE 197 18 284 C1 oderUS 6,385,562 B1 vom 7. Mai 2002 (KUKA Roboter ). In der US-Schrift zeigt insbesondere Spalte 3, Zeilen 44 bis 57 die Funktionseinheiten mit separaten Sicherheitseinrichtungen, wobei zwei Sicherheitsrichtungen so verkoppelt sind, dass sie einen "Ringverbund" aus einer hinführenden und einer rückführenden Leitung besitzen, welche Schnittstellen als serielle Anschlüsse aufweisen (dort 7,8). Der Ring betrifft keine Ringkopplung der dortigen Sicherheitsschaltungen 6.1 bis 6.5. Mit dieser Sicherheitsschaltung ist eine verteilte Sicherheitslogik vorgesehen, bei der sämtliche erforderlichen Sicherheitsfunktionen möglich sind und eine hochauflösende Diagnose möglich erscheint. In der erstgenannten EP-Schrift war diese hoch auflösende Diagnose hin zu einer einfachen Diagnosemöglichkeit optimiert worden, und parallel sollte in jedem Knoten die von diesem Knoten empfangenen Daten verarbeitet werden, wobei sich die "parallele Verarbeitung" auf die Anzahl der mehreren Knoten bezieht, so dass jeder als solches die Daten verarbeitet, nicht aber ein Knoten mit parallelen Daten im Sinne des Begriffes gespeist wird. - Aus der
DE 36 28 299 A1 (Licentia ) ist ein Ringverbund aus sicheren Rechnern bekannt. Die Ringstruktur besteht aus BUS-Strukturen (dort BUS 1 und BUS 2), welche mit BUS-Kopplern arbeiten. Die beiden Ring-BUSSE sind parallel redundant im gegenläufigen Sinn undirektional von Daten durchflossen, und je ein Kanal eines Rechners wird je einem Ring-BUS zugeordnet. Aus derDE 199 25 693 A1 (Phoenix ) ist auch ein ringförmiges BUS-System bekannt, um fehlertolerante Strukturen zu bilden. Der bestmöglich ersichtliche Aufbau ist aus der dortigenFigur 2 erkennbar, vgl. auch Seite 3, Zeilen 4 bis 15. Die Ringstruktur scheint quer verlaufend einkanalig zu sein, dagegen ist die Zufuhr der Information redundant vom Prozess vorgegeben, dort Bezugszeichen 4,5. Aus derUS 5,412,528 B ist eine Matrix bekannt, vgl. dort Spalte 4, Zeilen 25 bis 30. Sie besteht aus Notschaltern, welche die Schaltmatrix bilden, um die Verdrahtung zu reduzieren. Eine Ringstruktur ist dieser Schrift nicht zu entnehmen. - Die Erfindung hat deshalb als Problemstellung, eine Sicherheitsabschaltung in Ringstruktur so auszubilden, dass sie zuverlässiger arbeitet und dabei gleichwohl schneller anzusprechen vermag. Gegenüber einem Sternkonzept (zentrale Auswertung von Rückmeldungen vieler Geräte oder Antriebe) sollen Verdrahtungs- und Programmieraufwand reduziert werden, Sonderschaltungen weitgehend vermieden werden und die Zuverlässigkeit sowie die Flexibilität, durch Zulassung einer beliebigen Anzahl von Sicherheitsstufen, erhöht werden.
- Die Erfindung löst diese umfangreiche Aufgabe durch die Realisierung eines Ringkonzeptes oder einer Ringstruktur, in welche einzelne Sicherheitsschaltungen als Sicherheitsstufen eingeschaltet werden. Diese "Stufen" sind keine hierarchischen Stufen, sondern behandeln alle kaskadierten Teilnehmer an dem Sicherheitsring gleich.
- Ein aus mehreren (zumindest zwei) Sicherheitsstufen aufgebauter Ring als Sicherheits-Schaltungsverbund sorgt für eine zuverlässige Abschaltung bei verschiedenen (nicht gleichen) Logikpegeln bzw. Kombinationen von Logikpegeln auf einem mehrkanaligen Ausgang. Hier wird bereits von einem Verbund ausgegangen, der Teilnehmer besitzt, die im Ringverbund geschaltet sind, unter Verwendung von zumindest zweikanaliger Signalführung im Ring.
- Eine Sicherheitsschaltung zur Einschaltung in einen solchen Ring, mit einem mehrkanaligen Eingang und einem mehrkanaligen Ausgang ermöglicht es, den Ring aus zumindest zwei Sicherheitsstufen aufzubauen.
- Das sichere Überwachen von mehreren Steuergeräten der Leistungselektronik arbeitet mit den selben Sicherheitsschaltungen, wobei im Betrieb Impulse auf die Ausgänge jeder Stufe aufgeschaltet werden, welche nicht über den Ausgang der Folgestufe weitergegeben werden, sondern in einer Eingangsschaltung der Folgestufe ausgeblendet werden, unter Reduzierung der Kanalzahl.
- Ein Verfahren zum sicheren Abschaltung bedient sich mehrerer der Sicherheitsschaltungen ist aber in seiner Arbeitsweise durch Angabe der Signalwirkungen als Verfahren charakterisiert. In diesem Ringverbund erfolgt die Weitergabe (das Durchreichen) eines Abschaltsignals schnell, durch "Propagierung" im Ringverbund, ausgehend von einem Auslöser, der als auslösender Teilnehmer das Abschaltsignal in den Ringverbund einkoppelt.
- Im kleinsten verfügbaren Ring sind zwei Sicherheitsschaltungen, wobei jeweils ein Ausgang mit einem Eingang mehrkanalig verschaltet ist.
- Soweit im Folgenden von "Ausgang" gesprochen wird, wird das bei einem Verfahrensanspruch ein Signal betreffen, bei einem Vorrichtungsanspruch die Struktur, welche geeignet ist, das Signal abzugeben. Gleiches gilt für den Eingang mit seinem korrespondierenden Eingangssignal.
- Die beschriebenen Steuergeräte der Leistungselektronik sind eigenständig geregelt, aber von einer übergeordneten Steuerung oder Regelung beeinflusst. Jedes dieser Geräte hat eigene Sicherheitskomponenten, Sicherheitserkennungen und auch periphere Sicherheitsbereiche, welche sicherheitsrelevante Signale abgeben. Einer jeweiligen solchen Leistungselektronik-Schaltung zur Steuerung von elektrischen Antrieben ist eine Sicherheitsschaltung zugeordnet, die ihrerseits in den Ringverbund geschaltet wird. Damit werden - logisch gesehen, von den Pegeln der Gatter her - die mehreren Antriebe insgesamt in einen Ring geschaltet, behalten aber hinsichtlich ihrer Steuerungstechnik und Leistungselektronik eine völlige Eigenständigkeit. Wenn eines dieser Geräte ein Fehlersignal erkennen möchte, aus dem "logischen Ring" bzw. der Logik-Ringstruktur (mit Logiksignalen arbeitender Ring), werden diese Signale aus dem Ring ausgekoppelt und in einem Sicherheitsbereich eines jeweiligen Antriebs erkannt, oder bei Erkennen eines Sicherheitsfalls (Fehler der Hardware oder Funktion eines Sicherheitssensors) im Steuerungsbereich des Antriebs in den Ring über Logikschaltungen eingekoppelt.
- Insoweit ist die Ringstruktur eine direkte Weitergabe eines Eingangssignals, lediglich über Logikgatter zu einem Ausgangssignal einer Sicherheitsschaltung (zugeordnet einem Steuergerät der Leistungselektronik), ohne dass auf die Weitergabe des Signals im Ring das Steuergerät funktionsnotwendig Einfluss nehmen muß, um die Weitergabe des Signals zu erreichen. Der logische Ring ist unabhängig von dem realen Ansprechen von Sicherheitsfunktionen oder dem Erkennen eines Abschaltzustandes aus den Signalpegeln des Ringes, wie er in einem Sicherheitsbereich eines jeweiligen Steuergeräts erkannt wird.
- Sicherheitssignale werden in jedem Steuergerät anhand einer Beobachtung der Signale des Rings erkannt, andererseits auch in den Ring eingekoppelt, wenn eine Sicherheitssituation von dem Steuergerät erkannt wird. Dabei ist sogar die Weitergabe und Einkopplung von einem am Eingang einer Sicherheitsschaltung erkannten Abschaltzustand zu ihrem Ausgang möglich, um aufgetretene Fehler innerhalb einer Logikstruktur im Ring zu überbrücken und das Fehlersignal des Eingangs auf den Ausgang einer jeweiligen Sicherheitsschaltung nochmals eigenständig koppeln zu können. Der Begriff "auch vorgekoppelt wird" heißt, dass die direkte Kopplung über die Logikgatter jedenfalls (oder: dauerhaft) gegeben ist, wenn keine Leitungs- oder Funktionsstörung der Gatter vorliegen und nur zusätzlich auch ein paralleles Vorbei- oder Herüberkoppeln eines Fehlersignals vom Eingang auf den Ausgang über den Sicherheitsbereich möglich ist. Dazu verwendet der Sicherheitsbereich die selben Wege, wie er ein in seinem Bereich und für seine Leistungselektronik oder seinen Antrieb oder das zugehörige Umfeld erkannten Fehlerzustand als mehrkanaliges Abschaltsignal in den Ausgang der zugehörigen Sicherheitsschaltung einkoppeln würde.
- Das Weitermelden einer Abschaltinformation ist im Ring so schnell und direkt, praktisch nur durch ganz geringe Gatterlaufzeiten möglich, wohingegen Ansprechzeiten des Sicherheitsbereiches, bevor ein Abschaltzustand am Eingang einer Sicherheitsschaltung erkannt wird, deutlich größer sind.
- Dadurch können kurze, impulsartige Testsignale auf einen jeweiligen Ausgang aufgeschaltet werden, die eine Unsymmetrie der Pegel für die Dauer des Impulses, also im mehrkanaligen Ausgangssignal erzeugen, ohne dass sofort der folgende Sicherheitsbereich eine Abschaltung erkennt. Die Impulse haben eine kurze Dauer von unter 1 msec und treten vergleichsweise selten auf, beispielsweise in einem zeitlichen Abstand von 10 mal bis 100 mal größer als der Impulsbreite des Testimpulses, um langfristig feststellen zu können, ob Funktionsstörungen oder Fehler auf den Leitungen vorliegen, beispielsweise mechanische Defekte, wie Querkopplungen, Dauer Null oder Dauer Eins oder Unterbrechungen. Die Testsignale werden dabei ausgewertet hinsichtlich ihrer Wirkung auf das Potential der Leitung, welche Schaltungsanordnungen als solches aber bekannt sind, so dass sie hier nicht weiter erläutert werden, beispielsweise ein XOR-Glied.
- Die Testsignale werden in dem Ring aber so behandelt, dass sie immer nur einen Abschnitt weit Einfluss nehmen, also von der Ausgangsschaltung einer ersten Sicherheitsstufe zum Eingang einer zweiten Sicherheitsstufe, bzw. nur in ein Eingangsgatter hinein, welches diese Testimpulse unterdrückt oder ausblendet, so dass sie nicht an die Ausgangsstufe der nächsten Sicherheitsschaltung im Ring weitergegeben werden. Diese Ausgangsstufe erhält vielmehr eigenständig Testsignale eingekoppelt, welche wiederum nur bis zum Eingang der nächstfolgenden Sicherheitsschaltung gelangen und hier ausgeblendet oder unterdrückt werden. Die Funktion des Ringes kann so aufrecht erhalten werden, ohne dass ein Testsignal durch den gesamten Ring propagiert und Laufzeiten sich auf eine solche Weise akkumulieren, dass unerwünschte Betriebszustände entstehen, die von den Testsignalen gerade vermieden werden sollen.
- Die Testsignale haben im Ring also nur eine begrenzte Laufzeit oder Wirkungstrecke, werden von jeder Sicherheits-Schaltungsanordnung für ihren Ausgang bis zum nächsten Eingang aber eigenständig vorgegeben.
- Das Konzept der Ringabschaltung arbeitet mit unterschiedlichen Zeiten oder Zeitdauern, der beschriebenen Abschaltverzögerung des Sicherheitsbereiches, den kurzen Impulszeiten der Testsignale, der ganz kurzen Laufzeit der Logikgatter in einer jeweiligen Sicherheitsschaltung, welche Logikgatter Bestand des logischen Rings sind, und einer später zu erläuternde Einschaltzeit, welche dem Ausblenden des Eingangssignals durch gesteuerten Einfluss dient und damit das erneute Aktivieren des Rings aus einem angesprochenen Ausschaltzustand ermöglicht.
- Der Ring hat eine (meta)stabile Wartelage, welche zumeist mit parallelen High-Logikpegeln auf allen mehrkanaligen Leitungen definiert wird. Störend auf diese Lage können die beschriebenen, jeweils eine begrenzte Strecke wirkenden Testimpulse sein, die aber so kurz gehalten sind, dass sie die Ansprechverzögerung der Sicherheitsbereiche nicht überwinden und auch im Ring nur eine begrenzte Wirkungsstrecke haben, also nicht über den Folgestufe (die nächste Sicherheitsschaltung) hinaus Wirkung zeigen.
- Tritt ein Fehlerfall auf und wird ein Abschaltsignal von einem Ringteilnehmer verlangt, so wird der gemeinsame logische Pegel verändert, durch Einkoppeln eines mehrkanaligen Abschaltsignals in den Ausgang einer der Sicherheitsschaltungen. Arbeiten alle Gatter ordnungsgemäß, liegen keine Hardware-Fehler vor und auch keine mechanischen Defekte; werden die zumindest zwei Kanäle des Ausgangs des die Abschaltung verlangenden Steuergeräts auf logisch Null geschaltet.
- Der logische Null-Pegel propagiert unmittelbar durch den gesamten Ring, lediglich verzögert durch die Laufzeiten (propagation delay) der Logikgatter im Ring, welche im Nanosekunden-Bereich liegen können. Der gesamte Ring ist dann auf logisch Null gelegt (Ansprech- oder Sicherheitslage). Es dauert dann die Ansprechzeiten der einzelnen Sicherheitsbereiche, bis alle angesprochen haben und die zugehörigen Antriebe entsprechende Sicherheitszustände einnehmen.
Die Sicherheitszustände sollen hier nur angedeutet werden. Es gibt unterschiedliche Kategorien der Abschaltung, das direkte Abschalten der Kategorie Null (momentenlos schalten), das gesteuerte Abschalten im Sinne eines Quickstop, als Kategorie 1 (der Drehzahlwert Null wird gesteuert vorgegeben), und es gibt die Kategorie 2, welche mit Moment die Drehzahl Null gesteuert erhält. Je nach Art des spezifischen Fehlers wird eine spezifische Art der Abschaltung erwünscht. Günstig ist die Steuerung durch Drehmoment auf eine Drehzahl Null, bei Fehlern im Grundgerät kann diese Steuerung aber nicht erfolgen, so dass ein Momentenlos-Schalten vorgegeben wird. Die beschriebenen Abschaltungen haben vorwiegend dieses Ziel, nachdem sie eine hohe Sicherheitsanforderung erfüllen müssen, schnell arbeiten müssen, synchron alle Antriebe abzuschalten haben und selbst fehlerfrei für alle praktisch denkbaren Defekte reagieren müssen. - Der Ring kann nur insgesamt aktiviert werden, werden Zwischenstrecken des Rings, zwischen beispielsweise einem Ausgang und einem Eingang der Folgestufe nicht gemeinsam hinsichtlich der zumindest zwei Kanäle in gleicher Weise mit einer logischen Null aktiviert, so liegt ein Schaltungsfehler oder einer der beschriebenen mechanischen Defekte in dem funktionellen Ring vor. Diese Fehler zu vermeiden, dienen die Testsignale, welche solche Fehler frühzeitig erkennen sollen und gleich eine Abschaltung einzuleiten haben, zum Erhalt der dauerhaften Funktion des Ringkonzepts. Die Ringkonzeption arbeitet mit beliebig vielen Teilnehmern und kann beliebig kaskadiert werden. Trotz der beliebig hohen Anzahl von Teilnehmern ist keine gesonderte Erweiterung von Eingangssignalen nötig, vielmehr spricht eine Sicherheits-Schaltung nur die Folgeschaltung an, zur Weitergabe eines ggf. erforderlichen Abschaltsignals, und erhält von der vorgelagerten Sicherheits-Schaltung ein ggf. auszuführendes Abschaltsignal. Beide Signale sind mehrkanalig, im Sinne von zumindest zwei Kanälen.
- Der entstehende elektrische Verbund, in welchen die Sicherheitsschaltungen gestellt werden (elektrisch verbunden werden) ist eigenständig handlungsfähig, reaktionsfähig und in der Propagierung eines Abschaltsignals ungeheuer schnell, beispielsweise bei drei Ringteilnehmern mit jeweils zwei Logikgatter-Laufzeiten pro Sicherheitsschaltung im Bereich von wenigen 10 nsec. Größer als diese Laufzeiten sind die Impulsdauern der Testimpulse, wiederum größer als diese Impulsdauern sind die Ansprechverzögerungen der Sicherheitsbereiche jedes der Steuergeräte, wiederum größer als diese ist die mittlere Zeitdauer zwischen der Wiederkehr der Testimpulse und wieder größer als diese ist ein die Eingangsstufe einer jeweiligen Sicherheitsschaltung überschreibender oder außer Wirkung setzender Startpuls.
- Nochmals größer als diese Zeit sind so genannte Sicherheitszeiten zum sicheren Stillsetzen eines Steuergerätes (Wechselrichter-enable, WR_EN). Die Sicherheitszeit bis zum Abschalten eines beispielsweisen Wechselrichters ist applikationsspezifisch und hängt vom Antrieb ab. Sie kann zwischen 100 msec bis zu 30 sec betragen. Das Stillsetzen des Wechselrichters erfolgt also nicht sofort dann, wenn der Sicherheitsbereich dieses Steuergeräts anhand der Logikzustände des Rings erkannt hat, dass ein Fehlerfall vorliegt und nach Ablauf des zeitlichen Mindestintervalls auch eine Abschaltung eingeleitet hat, sondern ggf. viel später. Veranlasst ist der Abschaltzustand aber, die Ausführung wird nur anwendungsspezifisch in ihrer Realzeit variieren.
- Das Abgreifen ("Horchen" oder Beobachten) eines Abschaltsignals aus der logischen Ringstruktur kann über eine Schaltungsanordnung variabel verändert werden, abhängig von dem System- und Sicherheitszustand eines jeweiligen Steuergerätes oder eines jeweiligen Antriebs. Hier kann eine Vorgabe stattfinden, zwischen den Kategorien 0, 1 oder 2. Die Funktion und Integrität der logischen Ringstruktur wird davon aber nicht berührt. Es bleibt bei einer direkten Weitergabe in jeder Sicherheitsschaltung.
- Die sichere Überwachung der Steuergeräte, insbesondere die Erzeugung von Abschaltsignalen und die Propagierung dieser Abschaltsignale an alle beteiligten Steuergeräte in der Ringstruktur ist in der Lage, sich selbst zu überwachen. Diese Überwachung erfolgt durch Testimpulse, welche zeitversetzt in die Ringstruktur an einem jeweiligen Ausgang einer Schaltungsanordnung eingekoppelt werden. Die eingekoppelten Testimpulse sind zeitversetzt, treten also nicht parallel oder überlappend auf den mehreren Kanälen, insbesondere nicht gleichzeitig auf beiden Kanälen auf. Sie überwachen die Ausgangsleitung bis zum nächsten Eingang und werden von einer Eingangsschaltung in der nächsten Sicherheitsschaltung an ihrer weiteren Ausbreitung abgehalten.
- Verwendet man als Kombinationsschaltung zum Zusammenfassen der mehrkanaligen Eingangssignale mit alternativ vorhandenen Testimpulsen eine Oder-Gatter-ähnliche Schaltung, gelangt das Impulssignal nicht über dieses Gatter hinaus, nachdem zumindest eines der Signale im fehlerfreien Zustand immer auf dem logischen Pegel High (oder: Eins) ist. Demzufolge ist auch der Ausgang des logischen Oder-Gliedes immer eins, unabhängig von dem Vorhandensein des Testsignals.
- Die Reduzierung der Kanalzahl, also die Reduzierung von beispielsweise zwei Kanälen zwischen Ausgang der Vorstufe und Eingang der folgenden Stufe wird im Ringverbund durch die Ausgangsschaltung wieder auf die ursprüngliche Kanalzahl erweitert, also vermehrfacht. Bei dieser Vermehrfachung kann erneut ein neues Testsignal eingekoppelt werden, um den nächsten Streckenabschnitt der Ringschaltung im Abstand der Impulse zu überprüfen. Die entsprechenden Spannungsmessungen, als Folge der Impulse, sind Auslöser der Erkennung von mechanischen Defekten in der Ringstruktur.
- Diese nicht gleichen Logikpegel sind als ein kurzer Fehlerzustand zu betrachten, der durch die beschriebene Eingangsschaltung jeder Sicherheitsschaltung ausgeblendet wird und von dem Sicherheitsbereich noch nicht als Abschaltzustand interpretiert wird. Dauert diese Unsymmetrie der mehreren Kanäle aber länger an, spricht der Sicherheitsbereich an und erkennt einen Fehlerzustand, der beispielsweise durch mechanische Defekte im Zuge der mehrkanaligen Signalführung entstanden ist. Es wird - langsamer als durch die Laufzeiten der Gatterein Fehlersignal mehrkanalig auf die Ausgangsstufe geschaltet, von wo es dann schnell durch alle Gatter der Ringstruktur propagiert, zur Mitteilung an die anderen Teilnehmer des Sicherheitsverbundes.
- Erkannt wird ein einkanaliges Fehlersignal, aufgrund des Vorhandenseins von zumindest zwei Kanälen, weitergegeben wird ein mehrkanaliges Fehlersignal, eingekoppelt in die Ringstruktur. Der Zustand des Rings kippt innerhalb weniger 10 nsec, mit der Folge der Erkennung eines gewünschten Abchaltens auch durch die anderen Sicherheitsbereiche der anderen Steuergeräte, im oben beschriebenen Sinn.
- Statt eines einkanalig erkannten Fehlers kann auch ein mehrkanalig erkannter Fehler weitergegeben werden, wobei diese Fehlererkennung die wahrscheinlichere ist, da sie den Regelfall darstellt. Beide Fehlererkennungen sind ohne weiteres kombinierbar und können alternativ Platz greifen. Die Propagierungszeit durch den Ring und damit das Kippen des Ringes auf den Abschaltzustand (Ansprech- oder Sicherheitslage) geschieht innerhalb weniger Nanosekunden, die Einkopplung eines Fehlersignals aufgrund einer Erkennung eines Abschaltwunsches bei einem Antrieb erfolgt durch Einkopplung in eine jeweilige Ausgangsstufe.
- Ausgangsstufe und Eingangsstufe einer jeweiligen Sicherheitsschaltung haben also eigenständige Aufgaben, sind funktionell getrennt zu betrachten und werden durch ein einkanaliges Signal miteinander verbunden. Gemeinsam bilden sie einen Abschnitt der Ringstruktur, der einer jeweiligen Sicherheitsschaltung zugeordnet ist. Zwischen diesen Abschnitten finden sich Leitungsabschnitte, die zu dem jeweils nächsten Abschnitt der Sicherheitsschaltung, auch wiederum bestehend aus der Eingangsschaltung und der Ausgangsschaltung, führen. So betrachtet hat eine jeweilige Sicherheitsschaltung eine Eingangsschaltung und Ausgangsschaltung, welche einkanalig verbunden ist. Funktionell arbeitet aber immer eine Ausgangsschaltung der einen Sicherheitsschaltung mit einer Eingangsschaltung der nächsten Sicherheitsschaltung zusammen, die unterschiedlichen Antrieben zugeordnet ist und in der mit Leitungen verbundenen Form so nicht ausgeliefert wird, logisch aber in dieser Form zusammenhängend erklärt werden muß. Dieser logische Zusammenhang enthält die Zweckangabe als Verständnishilfe, aber nicht als Einschränkung der jeweils zu betrachtenden zusammenhängenden Struktur aus Eingangsschaltung und Ausgangsschaltung einer eigenständigen Sicherheitsschaltung.
- Hat der Ring eine stabile Sicherheitslage eingenommen, befinden sich also im regulären Systemzustand, ohne Verdrahtungs-, Schaltungs- oder Funktionsansprechen, in der Ringstruktur alle mehrkanaligen Signalleitungen auf logischem Pegel Null, kann dieser Zustand nur durch äußeren oder Fremdeingriff gelöst werden und der Ring wieder in seinen Wartezustand, den metastabilen Eins-Zustand bei allen mehrkanaligen Signalen gebracht werden.
- Hier hilft eine Übersteuerung der Eingangsstufe (Eingangsschaltung) einer jeweiligen Sicherheitsschaltung, beispielsweise durch Ergänzung eines weiteren Eingangs der Oder-Funktion, auf welchen Eingang ein Eins-Signal aufgesteuert wird, wenn alle anderen Sicherheits-Bedingungen für die Wiedereinschaltung der gekoppelten Antriebe erfüllt sind. Dieses Signal ist für eine kurze Zeit, beispielsweise zwischen 20 msec und 100 msec aktiv, übersteuert die aus der Ausschaltlage weiterzugebende logische Null am Eingang, zugunsten eines kurzzeitig forcierten Eins-Zustandes (High-Pegel) an dem einkanaligen Zwischensignal zwischen der Eingangsschaltung und der Ausgangsschaltung der Sicherheitsschaltung, um es am Ausgang zu ermöglichen, dort ebenfalls durch Vorsteuern von Eins-Signalen auf beiden Kanälen eine mehrkanalige Eins-Information als Ausgangssignal zu dem nächsten Eingangssignal zu geben.
- Dort ist an der adressierten Eingangsschaltung ebenfalls eine Übersteuerung wirksam, wie auch an den im Ring folgenden Sicherheitsschaltungen, so dass sämtliche Sicherheitsschaltungen in dem Ring auf einen Zustand gelegt werden, der eine Eins-Information an allen mehrkanaligen Ausgängen und Eingängen erlaubt.
- Ist dieser forcierte Zustand erreicht, kann das Übersteuerungs- oder auch Ausblend-Signal genannte Signal an allen Eingangsschaltungen weggeschaltet werden. Der Ring bleibt in seinem (metastabilen) Wartezustand.
- Ausführungsbeispiele erläutern und ergänzen die Erfindung(en).
- Figur 1
- veranschaulicht ein Schaltungskonzept für eine Ringstruktur mit drei Sicherheitsschaltungen A, B und C, wobei jede dieser Sicherheitsschaltungen einem Antrieb zugeordnet ist, der mit AA, AB und AC bezeichnet ist.
- Figur 2
- ist ein Signaldiagramm zur Veranschaulichung eines Abschaltens durch die Ringstruktur, wobei Sensor A anspricht. Dieser Sensor ist dem Antrieb AA und der Sicherheitsschaltung A zugeordnet. Er wird mit A50 bezeichnet.
- Figur 3
- veranschaulicht ein Abschalten des Sensor B50, welcher dem Antrieb AB und der Sicherheitsschaltung B zugeordnet ist.
- Figur 4
- ist eine Veranschaulichung von zeitlich aufgetragenen Signaldiagrammen der Signale c20b(t) und c20a(t) unter Einfluss von Testsignalen 100.
-
Figur 1 veranschaulicht eine Ringstruktur aus drei Schaltungsanordnungen und drei Antrieben mit zugeordnetem Umrichter (Frequenzumrichter). Die Frequenzumrichter als Repräsentant einer Schaltung der Leistungselektronik sind nicht gesondert dargestellt, sie sind allgemein bekannt. Beispielsweise der Antrieb C, abgekürzt AC weist einen Sicherheitsbereich C33 aus zumindest zwei Mikrokontrollern µC1, µC2 auf, der die Eingangssignale c10b(t) und c10a(t) erfasst, daraus einen Fehlerzustand ableitet und entsprechend vorgegebener Schaltmechanismen und Steuervorgaben einen Stopp einleitet, beispielsweise der Kategorie Null, der Kategorie Eins oder der Kategorie Zwei. Das kann zusätzlich einstellbar sein und ausgewählt werden. - Eine Peripherie für Sicherheitssensoren, repräsentiert anhand der anderen beiden Antriebe AA, AB und des zugehörigen Sensor-Bereiches A50 und B50 gibt weitere Signale zur Auswertung an die jeweilige Sicherheitsschaltung A33 bzw. B33, auch Sicherheitsbereich des jeweiligen Antriebs bzw. des Umrichters genannt. Der Antrieb C hat keinen solchen gesonderten peripheren Sicherheitssensor, sondern nur eine Eigensicherheit, die mit C33 repräsentiert ist.
- Jeder Bereich eines Antriebs AA, AB und AC mit zugehörigem Umrichter hat einen Logikabschnitt, der hier vergrößert dargestellt ist und dem die Verteilung der Sicherheitssignale eines jeweiligen Antriebs zugewiesen wird. Die über den Logikbereich hinausgehenden Steuerelemente des Umrichters sind nicht dargestellt.
- Es ist zu erwähnen, dass die drei vorgegebenen Antriebsbereiche AA, AB und AC mit ihrem jeweiligen Logikbereich A, B und C vom inneren Aufbau her vergleichbar sind, insbesondere ist der Logikbereich A, B und C gleich gestaltet. Die Beschreibung erfolgt daher maßgeblich im Bereich A des Antriebs AA, kann hinsichtlich der Bauelemente und Funktionen unmittelbar auf die Logikbereiche B des Antriebs AB und C des Antriebs AC übertragen werden. Die Bezugszeichen sind gleich, lediglich mit den zugehörigen Buchstaben gekennzeichnet. So entspricht der Eingang A10 des Antriebsbereiches AA dem Eingang C10 des Antriebsbereiches AC und dieser wiederum dem Eingangsbereich B10 des Antriebsbereiches AB. Gleiches gilt für die Ausgänge A20, C20 bzw. B20.
- Die Signale sind mit Kleinbuchstaben bezeichnet und bei der ersichtlichen mehrkanaligen Ausführung, hier zweikanalig dargestellt, sind jeweils zwei Eingangssignale eigenständig aber parallel und zwei Ausgangssignale eigenständig und parallel. Ein jeweiliger Ausgang einer Sicherheits-Schaltungsanordnung wird über die genannten zwei Kanäle auf den Eingang der nächsten (folgenden) Sicherheitsschaltung geschaltet. Deren Ausgang wird wiederum auf den übernächsten Eingang und dessen Ausgang auf den ersten Eingang der Ausgangsschaltung zurückgekoppelt. Damit entsteht eine Ringstruktur, die bei den gezeigten drei Sicherheitsschaltungen in der beschriebenen Weise vorgenommen wird.
- Es ist ersichtlich, dass eine beliebige Anzahl von Sicherheitsschaltungen in diese Ringstruktur eingefügt werden kann, ohne dass es eine äußere Begrenzung gibt.
- Ersichtlich ist auch, dass keine der Sicherheitsschaltungen in ihrem Aufbau oder in der Anzahl ihrer Kanäle oder Eingänge oder Ausgänge davon abhängig ist, wie viele Sicherheitsschaltungen tatsächlich in die Ringstruktur eingefügt wurden oder worden sind.
- Die besagte Ringstruktur besteht aus mehreren Abschnitten. Ein jeweiliger Logikabschnitt ist einer Sicherheitsschaltung zugeordnet und besteht aus einer Eingangsschaltung A30 und einer folgenden Ausgangsschaltung A40, entsprechend auch die Eingangsschaltung C30 und die Ausgangsschaltung C40 der Sicherheitsschaltung C beim Antrieb CC. Die außerhalb der Logikabschnitte liegenden Ringabschnitte sind Leitungsführungen, in der beschriebenen, zumindest zweikanalig ausgebildeten Struktur aus eigenständigen Signalen, die im regulären Betrieb, also ohne mechanische oder elektrische Defekte gleiche logische Pegel besitzen, jedenfalls stationär betrachtet.
- Ein normaler logischer Einschaltpegel, der keinen Ausschaltfall und keinen Fehlerfall symbolisiert, ist eine logische Eins (High-Pegel) auf allen Leitungsabschnitten. Das gilt dann auch für die beispielhaft herangezogenen Signale a10a und a10b. Sie stammen aus dem Ausgang C20 der Sicherheitsschaltung C, gekoppelt zur Sicherheitsschaltung A. Dort sind es die Signale c20a(t) und c20b(t).
- Am Eingang einer jeweiligen Sicherheitsschaltung "horcht" (ist also signalauskoppelnd angeschlossen) ein Sicherheitsbereich, bei Bereich C die Schaltung C33, der redundant aus mehreren, hier zwei Mikrokontrollern µC1, µC2 bestehen kann, welche die logische Sicherheitsabschaltung übernehmen und mit einer Schaltverzögerung arbeiten. Diese Schaltverzögerung T1 bringt es mit sich, dass ein Wechsel der beiden Kanäle auf den Low-Zustand (logisch Null) ein Abschalten des Sicherheitsbereiches und eine Erkennung des Fehlerfalls erst nach dieser Ansprechverzögerung veranlasst. T1 liegt im Bereich von bevorzugt oberhalb 1 msec, kann aber auch niedriger gewählt werden, oberhalb von 500 nsec.
- Das sichere Stillsetzen eines Antriebs wird entweder durch die Aktivierung eines der Sensoren in der Peripherie (als aktiver oder passiver Sensor) gestaltet. Ein solcher Sensor kann beispielsweise ein Lichtgitter, eine Sicherheitsmatte oder eine Lichtschranke sein. Ihre Signale werden dem Sicherheitsbereich zugeführt, beispielsweise C33 bei Antrieb C oder A33 bei Antrieb A.
- Die so erhaltene Abschaltinformation von A50 betrifft zunächst den Bereich des Antriebs A. Sie weiter-zu-vermitteln ist Aufgabe des Ringes, der aus Logikbauelementen eine sehr geringe Laufzeit T0 im Sinne einer Propagierung eines Ausschaltsignals aufweist. Dazu speist der Sicherheitsbereich A33 ein mehrkanaliges Ausschaltsignal über die Signalausgänge O1 und O2 auf zwei Und-Gatter A40b und A40a. Gehen die Signale O1 und O2 auf Null, wird auch das Ausgangssignal Null, was am Ausgang A20 als zwei eigenständige Signale, die aber parallel und im wesentlichen gleichzeitig auf logisch Null schalten, erscheint. Über den Zwischenabschnitt der Leitungsführung wird dieses Abschaltsignal auf den Eingang B10 der nächsten Sicherheitsstufe B weitergeleitet.
- Zur Sicherheitsschaltung A gelangt in entsprechender Weise auch das Ausgangssignal des Ausgangs C20 der Sicherheitsschaltung C, über die beiden Signale c20a(t) und c20b(t) zum Eingang A10. Auch hier liegen eigenständige Signale vor, die aber parallel auf Null schalten, wenn das Low-Signal des Eingangs B10 durch die Logikgatter der Sicherheitsstufe B und den die Eingangsschaltung C30 der Sicherheitsstufe C propagiert ist, um am Ausgang C20 zu erscheinen.
- Die Logiksignale a10a(t) und a10b(t) gelangen im wesentlichen zeitgleich zum Oder-Gatter C30, welches die Eingangsschaltung der Ringstruktur in der Sicherheitsschaltung A darstellt. Die Eingangsschaltung A30 nimmt das mehrkanalige Signal des Eingangs A10 auf, ist als Funktionsglied so ausgebildet, aus diesem mehrkanaligen Eingangssignal ein in der Kanalzahl reduziertes Zwischensignal a30(t) zu bilden, das bei gleichzeitig auf Null liegendem Eingangssignalen auch auf Null schaltet, um die Und-Gatter der Ausgangsschaltung A40 wiederum mehrkanalig mit einem Null-Signal zu versorgen, was aber keine weiteren Auswirkungen hat, nachdem diese Gatterschaltungen Auslöser und das einkoppelnde Element des Abschaltsignals in den Ring waren.
- Der gesamte Ring liegt nunmehr auf einem Low-Potential, was sämtliche Leitungsführungen zwischen den Ringabschnitten innerhalb der Sicherheitsschaltungen betrifft, und zusätzlich auch die gesamten Signalleitungen der Logikbausteine der Sicherheitsschaltungen selbst betrifft.
- Das Sicherheitssignal, hier der Wechsel von dem wartend stabilen, eigentlich metastabilen Eins-Zustand zu dem stabilen Null-Zustand, welcher einen Fehlerfall und eine Abschaltinformation symbolisiert, ist zuverlässig und schnell erreicht. Sämtliche Sicherheitsbereiche A33, C33 und entsprechend auch der Abschaltbereich B33 können jetzt aufgrund vorgegebener eigener Logik die vorgezeichnete Abschaltung durchführen. Keiner dieser Sicherheitsbereiche war an der Weiterleitung des durch den Ring propagierenden Abschaltsignals beteiligt, vielmehr ist der Ring eigenständig auf Null gekippt, sehr schnell und nur verzögert durch die Summe T0 der Laufzeiten der im Ring beteiligten Logikgatter.
- Jede eingangsseitig und ausgangsseitig verschaltete Sicherheitsschaltung steht mithin in dem Ringverbund (der Ringstruktur) zur Überwachung aller an der Ringstruktur beteiligten Teilnehmer und ihrer Antriebe sowie Steuergeräte.
- Der reguläre Betriebsfall war so beschrieben, als hier alle Schaltungen ordnungsgemäß arbeiten und die Leitungen keine Fehlerfälle oder mechanischen Defekte, wie Querkopplungen, festes Null-Signal oder festes Eins-Signal oder eine Unterbrechung aufweisen. Der Sicherheitsfall ist hier angenommen die Situation, bei der alle Signale auf logisch Null kippen. Es kann ebenso auch die umgekehrte Logik realisiert werden, bevorzugt ist aber die Ausschaltung bei dem logischen Signalpegel Null. Dies stellt den Sicherheitsfall und die sichere Lage des Ringes dar.
- Eine mehrkanalige Eingangsschaltung und eine mehrkanalige Ausgangsschaltung derselben Sicherheitsschaltung sind in der beschriebenen Weise durch das Signal a30(t), entsprechend auch das Signal c30(t), gekoppelt, welches Ausgangssignal der Eingangsschaltung A30 bzw. C30 ist.
- Durch diese Reduzierung der Kanalanzahl und die Eingangsschaltung C30 im Sinne einer Oder-Funktion können Testimpulse 100, welche nicht gleichzeitig auf allen, hier den beiden Kanälen auftreten, ausgeblendet werden. Diese eingesteuerten Testsignale einer Impulsschaltung C35 der Sicherheitsschaltung C, hier eingekoppelt über die Ausgangsschaltung C40, den Ausgang C20, weiter an den Eingang A10 und die Eingangsschaltung A30 reicht in seiner Wirkung nicht weiter, als bis zu dieser Eingangsschaltung. Damit kann ein solches mehrkanaliges Testsignal nicht weiter propagieren und prüft nur die Funktion der Ausgangsschaltung und des Leitungsabschnitts zwischen dem Ausgang und dem nächstfolgenden Eingang. In gleicher Weise sind Impulsschaltungen A35, B35 auch jeder anderen Sicherheitsschaltung zugeordnet, die auch jeweils nur einen begrenzten Abschnitt des Rings überprüfen, ausgehend von dem Ausgang von beispielsweise A20 bis zur nächsten Eingangsschaltung B30. Die Testimpulse werden in dem jeweiligen, die Eingangsschaltung bildenden Funktionsglied gesperrt und können es nicht passieren.
- Die Testimpulse, welche in der
Figur 4 mit einer kleinen Impulsbreite T2a, T2b dargestellt sind, sind als Impulse 100 auf die Signale aufgekoppelt, in ihrer Impulsbreite aber schmäler, als die Ansprechverzögerung T1 jedes der beteiligten Sicherheitsbereiche C33, A33 und B33. Dies ist Voraussetzung dafür, dass keiner der Sicherheitsbereiche durch die Testsignale anspricht, gleichzeitig aber eine eigenständige Überprüfung der Funktionsfähigkeit der Ringstruktur sichergestellt werden kann. - Die Sicherheitsbereiche sprechen namentlich auch dann an, wenn eine Unsymmetrie der Pegel an ihrem Eingang für eine längere Zeit anliegt, als die Ansprechverzögerung T1. Dies wird als ein mechanischer oder elektrischer Defekt interpretiert, der zu einem sicheren Abschalten führen wird.
- Die nicht gleichen Logikpegel auf den zwei Signalleitungen zwischen beispielsweise Ausgang C20 und Eingang A10 werden nach Ablauf von beispielsweise 1 msec von dem Sicherheitsbereich A33 mit seinen zwei Mikrokontrollern erkannt und über die Signale 01, 02 in den Ringverbund eingekoppelt, nachdem das Oder-Gatter A30 diesen Systemzustand nicht erkennen würde und nicht selbst die Propagierung des Fehlersignals übernehmen kann.
- Vermittelt wird dabei von dem Sicherheitsbereich A33 aus einem einkanaligen Fehler (nicht gleiche Logikpegel am Eingang A10) ein mehrkanaliges Abschaltsignal über die beiden Und-Gatter A40b und A40a, die es in den Ring einkoppeln. Von hier aus propagiert dieses Fehlersignal selbstständig über sämtliche beteiligte Teilnehmer mit einer großen Geschwindigkeit, lediglich verzögert um die Laufzeiten, die man als praktisch verzögerungsfrei ansehen kann. Selbst bei vielen beteiligten Teilnehmern in dem Sicherheitsring werden Laufzeiten von 200 nsec kaum überschritten. Die realen Laufzeiten sind vielmehr wesentlich geringer, bis ein bei beispielsweise Ausgangsschaltung A40 eingekoppeltes Fehlersignal wiederum diese Ausgangsschaltung über das vorgelagerte Eingangsglied A30 und zuvor sämtliche Ringteilnehmer erreicht.
- Die minimale Anzahl von Ringteilnehmern ist zwei, wenn z.B. nur die Sicherheitsschaltung A und B eingesetzt werden, mit Ausgang A20 gekoppelt an Eingang C10.
- Auch in dieser Schaltung sind die Impulse 100 den Signalleitungen überlagerbar, um un-symmetrische Logikpegel zu erzeugen, welche aber so kurz sind, dass die Sicherheitsbereiche C33 und A33 noch nicht ansprechen. Die Logikpegel werden demnach nicht gleichzeitig auf allen parallelen Kanälen in einem jeweiligen Abschnitt zwischen Ausgang und Eingang von zwei benachbarten Sicherheitsschaltungen angelegt, sondern zeitversetzt und damit nicht überlappend. Die zeitliche Beabstandung T4 bzw. die Wiederholrate der Testimpulse kann wesentlich länger sein, als ihre Impulsbreite, so zwischen 10 mal bis über 100 mal länger, was durch den Zeitabstand T4 in
Figur 4 verdeutlicht ist. Dort sind auch die nicht überlappenden Testimpulse 100 auf beiden Signalen c20b(t) und c20a(t) dargestellt. Es ergibt sich daraus, das einkanalige Zwischensignal a30(t), nach der Eingangsschaltung A30, das diese Testimpulse ausgeblendet hat bzw. nicht passieren lässt. - Ein Abschaltfall, der nicht automatisch und eigenständig, unabhängig von dem Ansprechen einer der Sicherheitsschaltungen A33, C33 oder B33 durch die Logikschaltungen des Rings propagiert wird, ist derjenige der durch elektrischen oder mechanischen Defekt verursachten Unsymmetrie eines Eingangs A10, bzw. der hier ankommenden Eingangssignale. Diese können an den Logikgattern vorbei von dem Sicherheitsbereich nach Ablauf des Mindestintervalls T1 (als Ansprechverzögerung) an der Eingangsschaltung A30 vorbeigeleitet und in dem Ausgang A40 eingekoppelt werden. Dies ist eine zusätzliche Möglichkeit, mehr oder höhere Sicherheit zu erhalten, für die eigentliche Funktion des Ringes aber nicht erforderlich. Die Funktion des Ringes ist vielmehr sichergestellt, unabhängig von einem Ansprechen oder Nichtansprechen eines der Sicherheitsbereiche (als Signal oder Sicherheitsabschaltung C33, A33 und B33).
- Das direkte Durchleiten im Sinne einer praktisch verzögerungsfreien Weitergabe durch jeweils eine Eingangs-/Ausgangsschaltung einer Sicherheitsschaltung arbeitet auch ohne jede Beteiligung des nur am Eingang horchenden oder signalauskoppelnden Sicherheitsbereiches mit den redundanten Mikrokontrollern.
- Sowohl der Ring arbeitet eigenständig und unabhängig, wie auch die Abschaltung eines jeweiligen Antriebs eigenständig erfolgt. Sie sind gekoppelt über das Horchen am Eingang (für die Abschalterkennung) und durch das Einkoppeln des Abschaltsignals am Ausgang (für die Weiterleitung des Ausschaltsignals).
- Ist der metastabile Zustand im Ring einmal durch eine Ausschaltinformation auf logisch Null gelegt, kann dieser Ring erst durch Fremdeinfluss wieder den Logisch-Eins-Zustand erreichen. Es ist eine besondere Einrichtung erforderlich, die hier durch einen weiteren Eingang des Funktionsgliedes der Eingangsschaltung A30, B30 und C30 ermöglicht wird.
- Die Abschaltung eines Sicherheitsbereiches wird auch von diesem gleichen Sicherheitsbereich wieder rückgängig gemacht. Dazu wird von dem die Abschaltung auslösenden Sicherheitsbereich A33, bei angenommenem Ansprechen des Sensors A50, ein Eins-Signal auf dem dritten Eingang des Oder-Gatters A30 - nach Eintreffen eines Quittungspulses an NA-Q und Wegfall des Sensoransprechens - gelegt. Die Freigabe wirkt auch auf die Abschaltsignale O1, O2, so dass der innere Abschnitt des Rings im Bereich der Sicherheitsstufe A durch Außeneinfluss auf logisch Eins gelegt wird. Der Ausgang A20 ist damit forciert mehrkanalig logisch Eins.
- Es wird auch bei allen anderen Antrieben die gleiche forcierte Einflussnahme über das Quittungssignal q(t) geschehen, so dass auch sämtliche übrige Ausgänge B20 und C20 mehrkanalig auf logisch Eins angehoben werden. Damit liegen auch sämtliche Eingänge mehrkanalig auf logisch Eins und der Zwangseingriff über den zusätzlichen Eingang des jeweiligen Oder-Gatters A30, B30 und C30 kann weggeschaltet werden. Der Ring hält sich - wenn kein weiterer Fehlerfall oder kein weiteres Abschaltsignal eines Sensors vorliegt - selbsttätig und eigenständig in dem metastabilen Zustand, als Wartezustand.
- Für diese beschriebene Arbeitsweise werden die Kaskadierung und die Propagierung des Null-Signals außer Kraft gesetzt. Das diese Außer-Kraft-Setzung erreichende Signal q(t) ist nur pulsförmig, fällt also nach einer kurzen Zeitspanne T3, beispielsweise größer 10 msec oder größer 20 msec weg, zu welchem Zeitpunkt es nicht mehr benötigt wird, um den Ring in seinem Eins-Zustand zu halten. Die Pulsdauer dieses Signals sollte größer sein, als die Ansprechverzögerung der Sicherheitsbereiche.
- Das Übersteuern der Eingangsschaltung, beispielsweise der Eingangsschaltung C30 an dem dritten Eingang erfolgt von dem betreffenden Sicherheitsbereich nur, wenn beide beteiligte Mikrokontroller das Freigabesignal erteilen, im Bereich C ist das der Sicherheitsbereich C33, das Und-Gatter C31 und die Ansteuerung dieses Und-Gatters von beiden am Sicherheitsbereich C33 beteiligten Mikrokontrollern. Die Einschalt-Information wird auch mit den O1-, O2-Signalen über die Und-Gattern C40b und C40a verknüpft, damit a30(t)=1 auf den Ring wirken kann. Gleiches geschieht bei allen anderen Sicherheitsschaltungen, gekoppelt über das pulsförmige q(t)-Signal als Einschaltquittierung.
- Die Funktionsweise beim Auslösen des Ansprechens des Sensors A im Sicherheitsbereich des Antriebes AA ist in
Figur 2 schematisch erläutert, mit Zeitdiagrammen und Logikpegeln. Bei der Schaltung nachFigur 1 erfolgt das Auslösen einer Abschaltinformation und das Weiterleiten dieser Information beginnend mit dem Ansprechen beispielsweise des Sensors A50, Ziffer (1) (eingekreiste Ziffern inFigur 2 ). Die vorgegebene Flanke wird praktisch verzögerungslos über die gesamte Ringstruktur A20, B10, B20, C10, C20, A10 weitergekoppelt, nachdem sie in das Ausgangssignal A20 über die Ausgangsstufe A40 eingekoppelt wurde. Das repräsentiert das zweite Diagramm "Weitermeldung Sensor" bei der eingekreisten Ziffer (1a). Der Sensor B50 bleibt nicht aktiviert, also störungsfrei. - Nach der Aktivierung des Sensors A50 bei (1), dem Weitermelden auf den Ausgang A20, bei (1a) zum Einkoppeln in den Ring und der Propagierung des Signals ist der gesamte Ring auf logisch Null geschaltet. Die dazu angefallene Propagierungszeit (Laufzeit) ist T0, erkennbar bis zur fallenden Flanke bei (1b), am Eingang A10.
- Alle Antriebe veranlassen ein sicheres Stillsetzen, durch ihre jeweiligen Sicherheitsbereiche A33, B33 und C33, jeweils eigenständig.
- Jeder Wechselrichter hat eine S-Zeit T5 für sicheres Stillsetzen. Diese Zeit ist (deutlich) größer als die Abschaltverzögerung T1. Die fallende Flanke des zugehörigen Signals "sicheres Stillsetzen" repräsentiert das Ende der Abschaltfolge. Die Antriebe befinden sich in einer Stopkategorie.
- Ein erneutes Einschalten aus dem abgeschalteten Zustand wird anschließend erläutert, ist in
Figur 2 zur Veranschaulichung aber gleich angeschlossen, obwohl zeitlich weit beabstandet. - Zur Zurückversetzung des Rings auf den Eins-Zustand wird eine manuelle Quittierung parallel an Quittierungseingängen NA-Q-In aller Antriebsbereiche erfolgen. Das Signal ist q(t). Nach Übernahme durch eine fallende Flanke, werden nur die lokalen Sensoreingänge in jedem Sicherheitsmodul ausgewertet. Diese lokalen Sensoreingänge betreffen den Bereich des Umrichters, keine Sensoreingänge von Abschaltsensoren oder Überwachungssensoren anderer Antriebe und keine Ringinformation.
- Der Eingang der Sicherheitsschaltung A wird bei (1 c) dazu für eine kurze Zeit T3, beispielsweise 20 msec ausgeblendet. Beide Mikrokontroller des Sicherheitsbereichs A33 legen dazu eine logische Eins auf das Und-Gatter A31, dessen Ausgang e(t) auf den dritten Eingang des Oder-Gatters A30 geführt ist. Damit wird die Ausgangsschaltung A40 aus den beiden Und-Gattern A40a, A40b freigeschaltet. Das interne Signal O1/O2 mehrkanalig, wird auf den gewünschten mehrkanaligen logisch Eins Pegel geschaltet und propagiert zum nächsten Teilnehmer. Alle beteiligten Teilnehmer im Ring verhalten sich so, bis am Eingang A10 der Sicherheitsschaltung A ein logisches Eins-Signal ansteht, zeitlich bei (1e). Dies war möglich, weil an den anderen Antrieben AB und AC kein Sensor eine Abschaltung verlangte, damit Freigaben signalisierten und q(t) allen Teilnehmern synchron zugeführt wurde.
- Die Freigabe des jeweiligen Antriebs, bzw. dann aller Antriebe, erfolgt nach Ablauf der Verzögerungszeit T5, hier mit beispielsweise 5 msec angegeben, im Anschluss an die fallende Flanke von e(t), nicht vorher.
- Daraus ersichtlich ist die Ausblendzeit T3 deutlich größer als die Laufzeit, sowohl eines Teilnehmers aus dem Ring, sowie auch aller Laufzeiten in Summe gesehen, also der Gesamtlaufzeit im Ring. Hierbei symbolisiert n die Anzahl der in den Ring geschalteten Teilnehmer. In erster Näherung verhalten sich alle Ringteilnehmer hinsichtlich ihrer Beitrags zur Gesamtlaufzeit gleich. Geht man von einer gesamten Laufzeit T0 im Ring aus, ist in erster Nähe die Laufzeit T0/n pro Ringnehmer die Gesamtlaufzeit geteilt durch die Anzahl der Ringteilnehmer. Es ist außerdem an dem Einschaltvorgang gemäß obiger Darstellung ersichtlich, dass die Verzögerungszeit T5 als Startverzögerung der Antriebe wesentlich größer ist, als die Laufzeit im Ring, im Sinne der Gesamtlaufzeit T0.
- In einem weiteren, direkt angeschlossenen Beispiel der
Figur 2 , im grau unterlegten Kasten, nach der strichlinierten Vertikallinie, wird ein erneutes Abschalten durch Ansprechen des Sensors A50 gezeigt. - Die Ziffer (2) zeigt das Ansprechen des Sicherheits-Bereiches A33, die Weitergabe und Einkopplung dieses Signals in den Ausgang A20, das durch den Ring propagierende Signal zum Eingang A10 zurück (aus der Kaskadierung), und die Ansprechzeit des sicheren Abschaltens mit der S-Zeit T6. Soll aus dem jetzt wieder abgeschalteten Zustand erneut eingeschaltet werden und wird angenommen, dass bei (2a) der Sensor A50 noch immer eine Abschaltung verlangt, geschieht das im folgenden der
Figur 2 Skizzierte mit den bereits bekannten Signalen. - Bei einer Quittierung zur Wieder-Inbetriebnahme und zum Aktivieren des Rings auf das Eins-Potential in seine Wartelage, wird zunächst nur die lokale Sensorinformation ausgewertet und an der Rückmeldung, dem Ausgang A20, kein logisches Eins-Signal ausgegeben, weil O1 und O2 nicht freigeben. Durch die Übersteuerung mit dem Ausblendsignal e(t) während T3 wird der Eingang A10, bzw. das nur einkanalige Zwischensignal a30(t) kurzzeitig auf Eins gehen, eingezeichnet bei (2b) in
Figur 2 . - Nach dem Ende des Ausblend- bzw. Übersteuerungspulses mit der Pulsbreite T3, der bei allen Sicherheitsschaltungen A, B und C wirkt, wird der Eingang aller Sicherheitsschaltungen wieder real von den Eingangsschaltungen A30, B30 bzw. C30 beobachtet und nachdem der Sicherheitsbereich A33 die Ausgangsschaltung A40 über die Abschaltsignale O1, O2 auf Null hält, wird dieses Abschaltsignal über die wieder funktionsfähig gesteuerte Ringstruktur weitergemeldet, bis der Eingang A10 nach der Laufzeit T0 erreicht wird (genauer: etwa 2/3 der Gesamtlaufzeit T0 bei drei Teilnehmern im Ring).
- Aus dieser Funktionsbeschreibung ist ersichtlich, dass keine Störsignale oder fehlerhaften Einschaltungen geschehen, auch in solchen Zuständen, die nicht das eigentliche Abschalten und das eigentliche Einschalten, sondern Spezialfälle sind, bei denen ein Einschalten verlangt wird, das übersteuernd in den Ring eingekoppelt wird und dennoch nicht dazu führt, dass irgend einer der im Ring geschalteten Teilnehmer ein Freigabesignal an den jeweiligen ihm bzw. ihnen zugeordneten Antrieb gibt. Die Antriebe bleiben sicher ausgeschaltet, auch dann, wenn das Freigabesignal manuell zwingend vorgegeben wird.
- Eine dabei mitwirkende Tatsache ist die nur lokale Auswertung des Sicherheitssignals von dem jeweiligen Sensor. Die Auswertung betrifft den Eingang, nicht den Ausgang, der bei aktiviertem Sensor (Sperrsignal angenommen) immer deaktiviert bleibt, wenn der zugehörige Sensor angesprochen hat und noch in diesem Zustand befindlich ist. Das Auswerten im Eingangsbereich und das Weitergeben vom Ausgangsbereich wird durch die beiden Sicherheitssignale möglich, von denen das eine Signal e(t) die Übersteuerung im Eingangsbereich veranlasst, wenn eingeschaltet werden soll, und die anderen Sicherheitssignale O1 und O2 sind, welche dem Ausgangsbereich zugeführt werden, aber weiterhin sperrend wirken und Nichts von dem Übersteuerungssignal an die zugeordneten UND-Gattern weitergeben, was durch die manuell eingeprägte Vorsteuerung zu veranlassen vorgegeben wird. Zu diesen beiden Wirkungen kommt die dritte Wirkung hinzu, wonach allen Teilnehmern jeweils eigenständig das Quittierungssignal zugeführt wird, um jeweils eigenständig für jeden Teilnehmer intern das Freigabe- oder Übersteuerungssignal e(t) zu erzeugen, das dann die jeweilige Eingangsschaltung, im Beispiel als ODER-Gatter mit drei Eingängen, übersteuert. Nicht übersteuert wird aber der Ausgangsbereich, der weiterhin den realen Zustand zugeführt erhält, der durch die jeweiligen Signale O1 und O2 der tatsächlich gemeldeten Realität der zugehörigen Sensoren entspricht.
- In einer übertragenden Betrachtung wird so jeder Ringteilnehmer eigenständig im Eingangsbereich vorgesteuert, betrachtet nur die lokale Sensorinformation, die im Ausgangsbereich entweder weiterhin sperrend oder schon freigebend wirkt, und wird so jeweils in einen Zwischenzustand versetzt, der es ermöglicht, den Ring wieder in den aktiv wartenden Wartezustand zu versetzen, wenn alle Sensoren, im Beispiel A50, B50 und derjenige des Sicherheitsbereichs C33, nicht mehr angesprochen haben. Dann wechselt der Zwischenzustand in den zu erreichenden metastabilen Wartezustand, der jetzt und in Folge in der Lage ist, jede künftig gemeldete Störung schnell, zuverlässig und hochgenau an alle anderen Ringteilnehmer zu vermitteln.
- Durch das Übersteuerungssignal e(t) sind zwei der drei Sicherheitsschaltungen im Ring in ihrem jeweiligen Ausgang, hier B20 und C20, auf logisch Eins gesteuert, so dass der Ring vermeintlich funktionsfähig ist, bis hin zum Eingangssignal A10, nur das Ausgangssignal A20 und der Eingang B10 der Folgeschaltung sind durch Einfluss des nicht von e(t) übersteuerten Ausgangsbereichs A40 der Sicherheitsschaltung A auf Null. Diese logische Null kann durch das inhibitierende Signal e(t) der Sicherheitsschaltung B aber nicht durch den Ring propagieren und erhält erst dann eine Propagierungs-Freigabe, wenn die Wirkung von Signal e(t) nach Ablauf der Zeit T3 wegfällt.
- Dann ist der Ring so schnell auf die stabile Null-Lage heruntergezogen, wie das die Laufzeit im Ring erlaubt und nachdem diese Laufzeit wesentlich kleiner ist, als die Einschaltverzögerung von jedem der beteiligten Antriebe AA, AB und AC, namentlich T5 als Startverzögerung, kann sichergestellt werden, dass keiner der Antriebe trotz teilweise funktionsfähig erscheinendem Ring ein Einschaltsignal (auch: Freigabe) erhält.
- Dieses Ergebnis ist besonders aus dem Gesichtspunkt zu würdigen, dass der Teilnehmer mit der Sicherheitsschaltung C ja gerade nicht erfährt, welche Ansprechlage der Sensor A50 tatsächlich hat, während das Übersteuerungssignal e(t) (Ausblendsignal) alle in der Ringstruktur verbundenen Sicherheitsschaltung in die Einschaltlage zwingt. Würde der Antrieb C hingegen kurzzeitig einschalten, würde er sich anders verhalten, als der real noch immer abgeschaltete Antrieb A, dem sein eigenes Sicherheitssignal des Sensors A50 wohl bewusst und auch unmittelbar aus seiner lokalen Auswertung bekannt ist. Es ist also nur vermeintlich ein leichtes Problem, ein Sicherheitssignal zu propagieren und den Ring danach wieder in eine Einschaltlage zu versetzen, aus der sie den Sicherheitszustand wieder zuverlässig erreicht; es ist vielmehr ein äußerst schwieriges Problem, diese unterschiedlichen Lagen, die Wartelage (High) und Sicherheitslage (Abschaltlage, Low) zu verwalten, eindeutig ineinander überzuführen und während der Zeiträume der Überführung, des Einschaltens oder Abschaltens, keine indifferenten und gefährlichen Zustände zu erzeugen, die zu den vielen Antrieben unterschiedliche Signale vermitteln, so dass sich die Antriebe, welche mechanisch gekoppelt sein können, nicht wirklich gleich verhalten.
- War im vorhergehenden Beispiel die Sicherheitsschaltung A betrachtet, das Ansprechen des zugeordneten Sensors A50 und die Wirkungen, welche das Ansprechen des Sensors nach Propagierung des Sicherheitssignals über die anderen beiden Teilnehmer B und C wiederum an derselben auslösenden Sicherheitsschaltung A erzeugt (deren Eingang), so soll in einem weiteren Beispiel gezeigt werden, wie sich die Signale auswirken, wenn der Sicherheitsbereich B anspricht, und welche Wirkung sich auf das Eingangssignal A10 des der Sicherheitsschaltung B vorgelagerten Sicherheitsschaltung ergibt, also der am weitesten entfernten Schaltung im Ring. Die gleiche Betrachtung kann ebenso unter Auswechslung der zugehörigen Bezugszeichen B und C für die Sicherheitsschaltung C erfolgen, mit Wirkung auf den Eingang B10. Sie kann ebenso für die Sicherheitsschaltung A erfolgen, mit Wirkung auf den Eingang C. Damit werden bei drei Schaltungen im Ring alle Zustände erfasst, die als kritisch auftreten können, so dass der Schluss gerechtfertigt ist, dass ein sicheres System vorliegt. Sicherheitsschaltung, welche näher an der auslösenden Schaltung liegen, verhalten sich nicht schlechter, als die Entfernteste, welches die im Ring Vorgelagerte ist.
- In dem Beispiel nach
Figur 3 wird die Aktivierung des Sensors B50 veranschaulicht, die entsprechend der Aktivierung des Sensors A50, nur für den Antriebsbereich AB arbeitet. Am Ausgang B20 wird das Aktivieren nach Einkoppeln in den Ring über die Gatterschaltung B40 mehrkanalig gemeldet und propagiert durch den (gesamten) Ring über die Sicherheitsschaltungen C zum (entferntesten) Eingang A10. Dies ist bei (1a) veranschaulicht, durch ein mehrkanaliges Null-Signal, welches das sichere Stillsetzen des Sicherheitsbereiches A33 bei (1c) einleitet. Das Stillsetzen geschieht nach Ablauf der Zeit T6, als S-Zeit benannt, um stark abhängig von der Applikation, so in einem weiten Feld von schnelleren Anwendungen bei 100 msec bis hin zu sehr langsam ansprechenden Antreiben großer Maschinen bei bis zu 30 sec. Vorgelagert ist eine Ansprechverzögerung T1, welche oberhalb der Zeitdauer der Testimpulse liegt, beispielsweise oberhalb von 1 msec bei Testimpulsen unterhalb dieser Größenordnung. Praktisch zeitgleich mit der fallenden Flanke von A10 ist zeitverzögert um einen Bruchteil der Laufzeit diese Flanke auch am Ausgang A20 anwesend, was bei (1b) im dritten Diagramm von oben gezeigt wird. Diese "Meldung" schließt den Kreis, wobei der Bruchteil der Anzahl der Teilnehmer im Kreis bestimmt wird, wie oben angegeben. - Nach der Übernahme einer wiedereinschaltenden Quittierung q(t) wird in allen Sicherheitsschaltungen wiederum nur die lokale Sensor-Information ausgewertet, bei (1d), so dass der Ring bis auf Ausgang B20 wieder auf eine logische Eins wechselt. Bei Ausgang B20 hängt der logische Pegel von dem Zustand des Sensors B50 ab. B20 wird auf logisch Eins angehoben, wenn B50 nicht aktiviert ist. Ist B50 aktiviert, bleibt der Ringabschnitt B20 bis C10 auf logisch Null. Für die Betrachtung der Wirkung der Schaltung B auf die Schaltung A heißt das während T3 aber in beiden Fällen, dass sowohl Eingang A10, als auch Ausgang A20 auf logisch Eins wechseln, weil - wie oben gesagt - der Ring - bis auf den Abschnitt B20-C10 auf logisch Eins wechselt. Nach Ende der manuellen Eingriffszeit T3, veranlasst durch die manuelle Quittierung q und die durch das System vorgegebene Ausblendzeit in einer Größenordnung wesentlich oberhalb T0, beispielsweise im Bereich von 10 msec bis 20 msec, ist für das Beispiel nach
Figur 3 der Sensor B50 nicht mehr aktiviert (auf logisch High-Pegel), so dass das Eins-Logigsignal bei 1 e im dritten Diagramm von unten auf logisch Eins verbleibt, und zwar sowohl bei Eingang A10, wie dargestellt, als auch bei Ausgang A20. Ausgehend von dieser Signallage wird nach Ende der Ausblendzeit T3, nach Ablauf der Verzögerungszeit T1 und nach Ablauf der Ausblendzeit T5 der Antrieb A freigegeben. - Das oben inhärent mit-beschriebene Beispiel, dass Sensor B weiterhin aktiviert bleibt, ist in der zweiten Hälfte des Diagramms der
Figur 3 nach einem Übergangsabschnitt zur Anpassung der Ausgangssituation veranschaulicht. Unter Berücksichtigung der Signalverläufe der vorigen Diagramme ist dieser Abschnitt eigentlich selbsterklärend. Hilfestellung gibt folgender Rahmen. - Im rechten Teil des zweiten, grau unterlegten Abschnitts des Diagramms nach
Figur 3 bleibt der Sensor B50 auch nach der Quittierung q(t) und T3 aktiviert, bei (2a). Daher geht der Eingang A10 über die Schaltung C nach einem Bruchteil der Gesamtlaufzeit T0 auf logisch Null. Die - zuvor übersteuerte - Meldung auf A20 wird nach der Eigenlaufzeit von Schaltung A wieder auf Null zurückgesetzt, bei (2c). Damit bleibt der Antrieb A auch nach der Quittierung ausgeschaltet, veranschaulicht durch das Signal "Sicheres Stillsetzen" = Null". T5 war dabei größer als alle Laufzeiten zusammen. - Dadurch ist gezeigt, das unterschiedlichen logische Zustände, die Wartelage (High) und Sicherheitslage (Abschaltlage, Low) richtig verwaltet werden, eindeutig ineinander übergeführt werden und während der Zeiträume der Überführung, des Einschaltens oder Abschaltens, indifferenten und gefährliche Zustände vermieden werden, die zu den vielen Antrieben unterschiedliche Signale vermitteln könnten, so dass sich die Antriebe, welche mechanisch gekoppelt sein können, wirklich gleich verhalten.
- Die Zeiten, welche unten in einer Übersicht dargestellt werden, sind auf einen schnellen Antrieb mit ansteuerndem Umrichter bezogen.
Übersicht Zeitart Größenordnung der Zeitart Anmerkung T0 (ganzer Ring) < 60 nsec
bei drei Teilnehmern im Ring mittelschnelle LogikT1 (Ansprechen) > 1 msec,
ist größer T2aT2a (Test Peaks) zwischen 500 µsec T2b und 1 msec T3 20 msec
sehr viel größer als T0T4 >10 msec, kann auch
>100 msec seinT5 5 msec
wesentlich größer als T0T6 zwischen 100 msec und 30 sec
stark applikationsspezifisch
Claims (2)
- Sicherheitsschaltung zur sicheren Überwachung von mehreren Steuergeräten (AA, AB, AC) der Leistungselektronik,
wobei die Sicherheitsschaltung einen Sicherheitsbereich (A33) und einen Logikabschnitt (A30) enthält und dazu eingerichtet ist, als Teilnehmer in einer Ringstruktur mit anderen Teilnehmern verbunden zu werden über einen mehrkanaligen Signalpfad mit zumindest zwei parallelen, aber eigenständigen Signalleitungen,
wobei die Ringstruktur- einen metastabilen Wartezustand annimmt, wenn alle Leitungsabschnitte zwischen den Sicherheitsschaltungen sich auf logischem Pegel Eins befinden, wobei dieser Zustand als normaler logischer Einschaltpegel keinen Fehlerfall und keinen Ausschaltfall symbolisiert, und- eine stabile Sicherheitslage dadurch anzeigt, dass alle mehrkanaligen Signalleitungen sich auf logischem Pegel Null befindenwobei der Logikabschnitt (A30) eine Ausgangsschaltung (A40) und einen mehrkanaligen Ausgang (A20) zur Kopplung an eine folgende Sicherheitsschaltung und einen mehrkanaligen Eingang (A10) zur Kopplung an eine vorgelagerte Sicherheitsschaltung enthält und dazu eingerichtet ist, einen logischen Pegel Null an allen Eingangs-Signalleitungen (a10a, a10b) der Sicherheitsschaltung praktisch verzögerungsfrei an den mehrkanaligen Ausgang (A20) durchzureichen,
wobei der Sicherheitsbereich (A33) mit einer Schaltverzögerung (T1) arbeitet und dazu eingerichtet ist, den mehrkanaligen Eingang (a10a, a10b) der Sicherheitsschaltung zu beobachten, und über den Logikabschnitt (A30) einen logischen Pegel Null an dem mehrkanaligen Ausgang (A20) zu erzeugen,
wenn dem Sicherheitsbereich (A33) ein Sicherheits-Abschaltsignal von einem zugeordneten Steuergerät oder einer ihm zugeordneten Peripherie (A50) eingekoppelt wird
oder wenn der Sicherheitsbereich (A33) eine Unsymmetrie des Pegels zwischen den Kanälen des mehrkanaligen Eingangs (A10) erkennt, die länger als die Schaltverzögerung (T1) dauert. - Verfahren zur sicheren Überwachung von mehreren Steuergeräten (AA, AB, AC) der Leistungselektronik mit einer Sicherheitsschaltung,
wobei die Sicherheitsschaltung einen Sicherheitsbereich (A33) und einen Logikabschnitt (A30) enthält und dazu eingerichtet ist, als Teilnehmer in einer Ringstruktur mit anderen Teilnehmern verbunden zu werden über einen mehrkanaligen Signalpfad mit zumindest zwei parallelen, aber eigenständigen Signalleitungen,
wobei die Ringstruktur- einen metastabilen Wartezustand annimmt, wenn alle Leitungsabschnitte zwischen den Sicherheitsschaltungen sich auf logischem Pegel Eins befinden, wobei dieser Zustand als normaler logischer Einschaltpegel keinen Fehlerfall und keinen Ausschaltfall symbolisiert, und- eine stabile Sicherheitslage dadurch anzeigt, dass alle mehrkanaligen Signalleitungen sich auf logischem Pegel Null befindenwobei der Logikabschnitt (A30) eine Ausgangsschaltung (A40) und einen mehrkanaligen Ausgang (A20) zur Kopplung an eine folgende Sicherheitsschaltung und einen mehrkanaligen Eingang (A10) zur Kopplung an eine vorgelagerte Sicherheitsschaltung enthält
mit folgenden Verfahrensschritten:der Logikabschnitt reicht einen logischen Pegel Null an allen Eingangs-Signalleitungen (a10a, a10b) der Sicherheitsschaltung praktisch verzögerungsfrei an den mehrkanaligen Ausgang (A20) durch,der Sicherheitsbereich (A33) arbeitet mit einer Schaltverzögerung (T1), beobachtet den mehrkanaligen Eingang (a10a, a10b) der Sicherheitsschaltung und erzeugt über den Logikabschnitt (A30) einen logischen Pegel Null an dem mehrkanaligen Ausgang (A20),
wenn dem Sicherheitsbereich (A33) ein Sicherheits-Abschaltsignal von einem zugeordneten Steuergerät oder einer ihm zugeordneten Peripherie (A50) eingekoppelt wird
oder wenn der Sicherheitsbereich (A33) eine Unsymmetrie des Pegels zwischen den Kanälen des mehrkanaligen Eingangs (A10) erkennt, die länger als die Schaltverzögerung (T1) dauert.
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102004008249 | 2004-02-19 | ||
DE102004008249 | 2004-02-19 | ||
DE102004020830 | 2004-04-28 | ||
DE102004020830A DE102004020830B4 (de) | 2004-02-19 | 2004-04-28 | Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik |
Publications (3)
Publication Number | Publication Date |
---|---|
EP1566873A2 EP1566873A2 (de) | 2005-08-24 |
EP1566873A3 EP1566873A3 (de) | 2005-12-14 |
EP1566873B1 true EP1566873B1 (de) | 2010-10-13 |
Family
ID=34832839
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP05101273A Not-in-force EP1566873B1 (de) | 2004-02-19 | 2005-02-18 | Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP1566873B1 (de) |
AT (1) | ATE484871T1 (de) |
DE (2) | DE102004020830B4 (de) |
DK (1) | DK1566873T3 (de) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011056594A1 (de) * | 2011-11-21 | 2013-05-23 | Phoenix Contact Gmbh & Co. Kg | Eingangsschaltung für ein Sicherheitsschaltgerät, Sicherheitsschaltung mit einem Sicherheitsschaltgerät und einer solchen Eingangsschaltung, und Verfahren zur Überwachung von einer Mehrzahl Sicherheitsfunktionen |
JP6911408B2 (ja) * | 2017-03-13 | 2021-07-28 | オムロン株式会社 | 評価システム、安全コントローラ、評価プログラム、および、評価方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1028360A2 (de) * | 1999-02-12 | 2000-08-16 | KUKA Roboter GmbH | Vorrichtung zum Verarbeiten sicherheitsrelevanter Daten |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0528442B1 (de) * | 1986-05-02 | 1997-09-17 | Hitachi, Ltd. | Verfahren zur Netzkonfigurationssteuerung |
DE3628299A1 (de) | 1986-08-21 | 1988-02-25 | Licentia Gmbh | Verfahren und anordnung zum signaltechnisch sicheren uebertragen von seriellen daten zwischen vorzugsweise zweikanaligen sicheren rechnern unter verwendung eines doppelringbussystems |
KR880006815A (ko) * | 1986-11-12 | 1988-07-25 | 시키 모리야 | 고장구간 검출장치 |
DE4223435C2 (de) | 1992-05-22 | 1994-06-01 | Ferag Ag | Sicherheitsabschaltsystem |
DE19718284C2 (de) * | 1997-05-01 | 2001-09-27 | Kuka Roboter Gmbh | Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten |
DE19925693B4 (de) | 1999-06-04 | 2007-05-16 | Phoenix Contact Gmbh & Co | Schaltungsanordnung zur gesicherten Datenübertragung in einem ringförmigen Bussystem |
GB2361591B (en) * | 2000-04-18 | 2003-10-08 | Alstom | Improvements in or relating to ring main units |
DE10045651B4 (de) * | 2000-09-15 | 2007-08-02 | Pilz Gmbh & Co. Kg | Sicherheitsschaltgerät |
JP3882783B2 (ja) * | 2002-05-31 | 2007-02-21 | オムロン株式会社 | プログラマブルコントローラ及びcpuユニット並びに通信ユニット及び通信ユニットの制御方法 |
JP4185706B2 (ja) | 2002-05-31 | 2008-11-26 | 富士フイルム株式会社 | センタ・サーバおよびその制御方法 |
DE10329914B4 (de) * | 2003-07-02 | 2005-09-01 | Rheinmetall Landsysteme Gmbh | Fehlererkennung für Powerring |
-
2004
- 2004-04-28 DE DE102004020830A patent/DE102004020830B4/de not_active Expired - Lifetime
-
2005
- 2005-02-18 EP EP05101273A patent/EP1566873B1/de not_active Not-in-force
- 2005-02-18 DK DK05101273.0T patent/DK1566873T3/da active
- 2005-02-18 AT AT05101273T patent/ATE484871T1/de active
- 2005-02-18 DE DE502005010365T patent/DE502005010365D1/de active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1028360A2 (de) * | 1999-02-12 | 2000-08-16 | KUKA Roboter GmbH | Vorrichtung zum Verarbeiten sicherheitsrelevanter Daten |
Also Published As
Publication number | Publication date |
---|---|
EP1566873A2 (de) | 2005-08-24 |
EP1566873A3 (de) | 2005-12-14 |
DE102004020830A1 (de) | 2005-09-08 |
ATE484871T1 (de) | 2010-10-15 |
DK1566873T3 (da) | 2011-01-10 |
DE102004020830B4 (de) | 2010-06-10 |
DE502005010365D1 (de) | 2010-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2720051B1 (de) | Sicherheitssystem | |
EP1493064B1 (de) | Vorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers, insbesondere in industriellen produktionsanlagen | |
EP1297394B1 (de) | Redundantes steuerungssystem sowie steuerrechner und peripherieeinheit für ein derartiges steuerungssystem | |
EP2720098B1 (de) | Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad | |
EP1589386B1 (de) | Prozesssteuerung | |
EP1738382A1 (de) | Sicherheitsschalteinrichtung für eine sicherheitsschaltung | |
DE60027514T2 (de) | Sicherheitseinrichtung | |
EP2962320B1 (de) | Sicherheitsschaltvorrichtung zum ein- und fehlersicheren ausschalten einer technischen anlage | |
EP1401158A1 (de) | Koppeleinrichtung für serielles Bussystem | |
EP1887444A1 (de) | Prozesssteuerung | |
EP2720094A1 (de) | Sicherheitssystem | |
EP1622039B1 (de) | Verfahren und Vorrichtung zur Adressvergabe an Teilnehmer eines Bussystems | |
WO2005003869A1 (de) | Vorrichtung und verfahren zum automatisierten steuern eines betriebsablaufs bei einer technischen anlage | |
DE102005009707A1 (de) | Modulares numerisches Steuergerät | |
DE102017202398A1 (de) | Mikrocontroller und elektronische steuereinheit | |
EP3460593A1 (de) | Sichere schaltvorrichtung | |
EP1566873B1 (de) | Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik | |
EP1426841B1 (de) | Anordnung bestehend aus einer programmgesteuerten Einheit und einem mit dieser verbundenen Power-Baustein | |
CH618029A5 (de) | ||
EP1594021B1 (de) | Schaltungsanordnung sowie Verfahren zum Testen von Relaisschaltkontakten einer digitalen Ausgangsschaltung | |
DE2134079B2 (de) | Anordnung zur redundanten Prozeßrechnersteuerung | |
DE2647367B2 (de) | Redundante Prozeßsteueranordnung | |
DE2530887C3 (de) | Steuereinrichtung zum Informationsaustausch | |
EP2215533B1 (de) | Steuereinrichtung für eine sicherheitsschaltvorrichtung mit integrierter überwachung der versorgungsspannung | |
DE102022108193A1 (de) | Schaltverstärker für Sicherheitsanwendungen und Verfahren zum Betreiben eines Schaltverstärkers für Sicherheitsanwendungen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
AK | Designated contracting states |
Kind code of ref document: A2 Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR |
|
AX | Request for extension of the european patent |
Extension state: AL BA HR LV MK YU |
|
PUAL | Search report despatched |
Free format text: ORIGINAL CODE: 0009013 |
|
AK | Designated contracting states |
Kind code of ref document: A3 Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR |
|
AX | Request for extension of the european patent |
Extension state: AL BA HR LV MK YU |
|
17P | Request for examination filed |
Effective date: 20060519 |
|
AKX | Designation fees paid |
Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR |
|
17Q | First examination report despatched |
Effective date: 20070209 |
|
17Q | First examination report despatched |
Effective date: 20070209 |
|
GRAP | Despatch of communication of intention to grant a patent |
Free format text: ORIGINAL CODE: EPIDOSNIGR1 |
|
GRAS | Grant fee paid |
Free format text: ORIGINAL CODE: EPIDOSNIGR3 |
|
GRAA | (expected) grant |
Free format text: ORIGINAL CODE: 0009210 |
|
AK | Designated contracting states |
Kind code of ref document: B1 Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: FG4D Free format text: NOT ENGLISH |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: EP |
|
REG | Reference to a national code |
Ref country code: IE Ref legal event code: FG4D Free format text: LANGUAGE OF EP DOCUMENT: GERMAN |
|
REF | Corresponds to: |
Ref document number: 502005010365 Country of ref document: DE Date of ref document: 20101125 Kind code of ref document: P |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: NV Representative=s name: KELLER & PARTNER PATENTANWAELTE AG |
|
REG | Reference to a national code |
Ref country code: DK Ref legal event code: T3 |
|
REG | Reference to a national code |
Ref country code: NL Ref legal event code: VDEP Effective date: 20101013 |
|
LTIE | Lt: invalidation of european patent or patent extension |
Effective date: 20101013 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: LT Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 |
|
REG | Reference to a national code |
Ref country code: IE Ref legal event code: FD4D |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: SI Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 Ref country code: PT Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20110214 Ref country code: NL Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 Ref country code: IS Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20110213 Ref country code: BG Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20110113 Ref country code: SE Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: GR Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20110114 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: ES Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20110124 Ref country code: CZ Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 Ref country code: EE Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 Ref country code: IE Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 |
|
PLBE | No opposition filed within time limit |
Free format text: ORIGINAL CODE: 0009261 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT |
|
BERE | Be: lapsed |
Owner name: LENZE AUTOMATION G.M.B.H. Effective date: 20110228 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: RO Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 Ref country code: PL Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 Ref country code: SK Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 |
|
26N | No opposition filed |
Effective date: 20110714 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: MC Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20110228 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R097 Ref document number: 502005010365 Country of ref document: DE Effective date: 20110714 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: BE Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20110228 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: CY Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 Ref country code: LU Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20110218 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: TR Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: HU Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT Effective date: 20101013 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: FI Payment date: 20140219 Year of fee payment: 10 Ref country code: CH Payment date: 20140220 Year of fee payment: 10 Ref country code: DK Payment date: 20140221 Year of fee payment: 10 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: FR Payment date: 20140221 Year of fee payment: 10 Ref country code: IT Payment date: 20140226 Year of fee payment: 10 Ref country code: AT Payment date: 20140219 Year of fee payment: 10 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: GB Payment date: 20140220 Year of fee payment: 10 |
|
REG | Reference to a national code |
Ref country code: DK Ref legal event code: EBP Effective date: 20150228 |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: PL |
|
REG | Reference to a national code |
Ref country code: AT Ref legal event code: MM01 Ref document number: 484871 Country of ref document: AT Kind code of ref document: T Effective date: 20150218 |
|
GBPC | Gb: european patent ceased through non-payment of renewal fee |
Effective date: 20150218 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: FI Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20150218 Ref country code: CH Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20150228 Ref country code: LI Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20150228 |
|
REG | Reference to a national code |
Ref country code: FR Ref legal event code: ST Effective date: 20151030 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: AT Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20150218 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: IT Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20150218 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: DK Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20150228 Ref country code: GB Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20150218 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: FR Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20150302 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: DE Payment date: 20190429 Year of fee payment: 15 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R119 Ref document number: 502005010365 Country of ref document: DE |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: DE Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES Effective date: 20200901 |